_Krot_Studio_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "「Large Language Model」という文字が載ったマイクロチップの上にあるLLMの文字")
出典:Krot Studio / Alamy Stock Photo
攻撃者は、公開された 大規模言語モデル(LLM) サービスに焦点を当てており、2つの別個のキャンペーンを通じて標的サービスに対して合計で約10万回のアクセス(ヒット)を記録した。
攻撃の狙いの一つは、人工知能(AI)導入の拡大する攻撃対象領域をマッピングすることにある。企業での利用は、今年、実験段階から本番運用段階へ移行する可能性が高く、その後の悪意ある活動につなげるためだとGreyNoiseの研究者は述べた。
GreyNoiseは2025年10月から2026年1月にかけてハニーポットを通じて攻撃を検知し、2つの別個のキャンペーンに起因する攻撃セッションの総数が91,403件に上ったことを、最近のブログ投稿で明らかにした。先行するキャンペーンは、おそらく倫理的ハッカーの仕業で、サーバーサイド・リクエスト・フォージェリ(SSRF)の脆弱性を悪用し、標的サーバーに攻撃者が管理するインフラへ外向き接続を行わせた。
一方、もう一方のキャンペーンはより厄介に見え、組織が「懸念すべきなのは」こちらだと、GreyNoiseの研究者Bob Rudisはブログ投稿で書いている。これは2つのIPから発信され、誤設定されたプロキシサーバーを特定するために「73以上の LLMモデル エンドポイントを体系的に探査」したという。
このキャンペーンはわずか11日間で80,469セッションを生成し、主要なAIモデルファミリーすべてについて、OpenAI互換のAPI形式とGoogle Gemini形式を標的にした。
「8万件の列挙リクエストは投資を意味する」とRudisは指摘する。「脅威アクターは、使う計画なしにこの規模でインフラをマッピングしない。公開されたLLMエンドポイントを運用しているなら、あなたはすでに誰かのリストに載っている可能性が高い。」
2つのキャンペーンの顛末
最初のキャンペーンは2025年10月から1月にかけて実施され、クリスマス期間中に48時間で1,688セッションと「劇的に」急増した。使用されたベクトルは2つで、1つ目は悪意あるレジストリURLを注入してサーバーに攻撃者インフラへのHTTPリクエストを強制するもの、2つ目はMediaUrlパラメータを操作して外向き接続を引き起こすものだった。
GreyNoiseは、このキャンペーンが27カ国に分散する62の送信元IPから来ていたことを突き止め、ProjectDiscoveryのOAST(Out-of-band Application Security Testing)インフラを用いてコールバック検証により成功した SSRF悪用を確認していたことから、セキュリティ研究者またはバグバウンティ・ハンターの仕業である可能性が高いと判断した。これはその種の調査に見られる特徴だという。ただしRudisは、「規模とクリスマスのタイミングは、境界を押し広げるグレーハット的な活動を示唆する」と書いている。
2つ目のキャンペーンは2025年12月28日に開始され、はるかに悪意ある脅威となり、「主要なモデルファミリーすべて」を標的にしたとRudisは書いている。標的となった LLM は、OpenAI(GPT-4oおよび派生)、Anthropic(Claude Sonnet、Opus、Haiku)、Meta(Llama 3.x)、DeepSeek(DeepSeek-R1)、Google(Gemini)、Mistral、Alibaba(Qwen)、xAI(Grok)だった。
この攻撃では、サービスのAPIに対して「セキュリティアラートを引き起こさずに、実際にどのモデルが応答するかをフィンガープリントする」ことを狙ったとみられる、意図的に無害なクエリでテストを行ったという。
GreyNoiseは攻撃を実行したIPを調査し、React2Shell(CVE-2025-55182)、CVE-2023-1389、および200件以上の既知の欠陥を含む多数のCVEを悪用していたことを以前に観測していた2つを見つけた。「観測を合算するとセンサーへのヒットは400万件を超える」とRudisは書いている。
LLMの防御
これら2つのキャンペーンは、組織が公開AIモデルの利用を増やす中で、攻撃者がAI導入の拡大する攻撃対象領域を継続的にマッピングできることを示している。こうした活動は、公開LLMの利用をめぐってより堅牢なセキュリティ対策を採用する必要性を組織に突き付けているとRudisは述べた。
GreyNoiseは、これら2つのキャンペーンに対してエンドポイントを保護するため、防御側がブロックすべきOASTコールバックのドメインとIPアドレスの一覧を掲載した。
組織が取るべき他の手順としては、エグレスフィルタリングでモデルの取得(pull)を厳格化し、SSRFのコールバックが攻撃者インフラへ到達するのを防ぐことが挙げられるとRudisは指摘する。防御側はまた、複数のモデルエンドポイントに対して高速連続でリクエストが当たる場合にアラートを設定して 列挙パターンを検知し、フィンガープリント目的のクエリにも注意すべきだという。
他の緩和策としては、DNSでOASTをブロックして悪用成功を確認するコールバックチャネルを遮断すること、そしてレート制限により疑わしいASN、特にAS152194、AS210558、AS51396を制限することが含まれる。これらは「いずれも攻撃トラフィックで目立っていた」と彼は書いている。
最後に、組織はJA4フィンガープリントを監視することで、自社インフラを狙うツールや自動化を捕捉できるとRudisは述べた。JA4+はネットワーク・フィンガープリンティング標準のスイートである。
翻訳元: https://www.darkreading.com/endpoint-security/separate-campaigns-target-exposed-llm-services
