攻撃者はインターネット全体にわたる広範な偵察に乗り出し、大規模言語モデル(LLM)に基づく商用サービスへの不正アクセスを可能にする、設定不備のプロキシサーバーを体系的に特定している。このキャンペーンは、単なる無秩序なスキャンではなく、綿密な情報収集作戦として現れており、少なくとも12月下旬以降活動している。
脅威インテリジェンスプラットフォームGreyNoiseによると、攻撃者は73を超えるLLM関連エンドポイントを精査し、80,000超のセッションを生成した。手法は「サイレント」な問い合わせ――短い挨拶、空文字列、または中立的な事実確認の質問――を用い、検知システムやログ機構を回避しつつ、アクセス可能な具体的なモデルを特定することを狙っている。
直近4か月間で、GreyNoiseのOllamaベースのハニーポットは、2つの別個のキャンペーンに起因する合計91,403件のアクセス試行を捕捉した。最初の攻勢は10月に開始され、現在も継続しており、クリスマス休暇中にピークを迎え、48時間の枠内で1,688セッションが記録された。これらの事例では、攻撃者はサーバーサイドリクエストフォージェリ(SSRF)の脆弱性を悪用し、サーバーに対して彼らの支配下にある外部インフラへの接続を強制した。
研究者らは、犯行者がMediaURLパラメータを介して有害なレジストリURLやTwilio SMSのWebhook統合を注入し、Ollamaのモデル読み込み機構を操作していたことを確認した。注目すべき点として、彼らはProjectDiscoveryのOAST(Out-of-Band Application Security Testing)インフラ――通常は正当なセキュリティ監査のために用いられるツール――を利用していた。GreyNoiseは、これが研究者やバグバウンティ参加者によって主導されている可能性のある「グレーゾーン」の活動を示唆するとしつつも、その規模の大きさと意図的なタイミングは、従来の監査の範囲を超えていると述べている。
テレメトリによれば、この特定のキャンペーンは27か国にまたがる62のIPアドレスから発生しており、従来型のボットネットよりも仮想専用サーバー(VPS)に近い特徴を示している。
12月28日に開始された第2のキャンペーンは、攻撃性が顕著に増大し、わずか11日間で80,469セッションを生み出した。たった2つのIPアドレスが73超のエンドポイントを綿密に精査し、OpenAI互換APIとGoogle Gemini形式の双方を使用した。標的リストには、GPT-4oの各種イテレーション、Claude系統、Llama 3、DeepSeek-R1、Gemini、Mistral、Qwen、Grokなど、ほぼすべての主要プロバイダーのソリューションが含まれていた。
これらのスキャンを可能にしたインフラは、大規模な脆弱性悪用と歴史的に関連しており、利用可能なLLMサービスをマッピングすることを目的とした集中的な偵察任務を示唆している。その後のデータ流出やモデル悪用の決定的な証拠は依然として見つかっていないものの、研究者らは、このような徹底的なスキャンが特定の目的なしに実施されることは稀だと強調する。GreyNoiseは、これほどの規模でインフラマッピングに投資することは、将来の悪用の前兆であると指摘している。
防御を強化するため、Ollamaのモデル読み込みを信頼できるレジストリのみに限定し、アウトバウンド通信のフィルタリングを実装し、既知のOASTドメインをDNSレベルでブロックすることが推奨される。さらに、エンドポイント列挙を阻止するため、組織は疑わしい自律システムに対してレート制限を課し、自動スキャン実装に特徴的なJA4ネットワークフィンガープリントを監視すべきである。
翻訳元: https://meterpreter.org/the-ai-reconnaissance-91000-attacks-target-exposed-llm-infrastructure/
