- GreyNoiseは、2025年10月から2026年1月にかけて、露出したAIシステムに対する9万1,000件の攻撃セッションを記録した
- キャンペーンには、サーバーに「自宅へ電話」させるよう仕向ける手口や、AIモデルをマッピングするための大規模プロービングが含まれていた
- 悪意ある攻撃者は設定ミスのプロキシを標的にし、OpenAI、Gemini、その他のLLM APIを大規模にテストしていた
専門家は、ハッカーが設定ミスのプロキシを狙い、その背後にある大規模言語モデル(LLM)サービスへ侵入できるかどうかを探っていると警告している。
GreyNoiseの研究者は最近、誰がそれとやり取りしようとするのかを確認するため、偽の「露出したAIシステム」を設置した。
2025年10月から2026年1月の間に、彼らは9万1,000件を超える攻撃セッションを記録し、2つの攻撃キャンペーンを明らかにした。
体系的なアプローチ
最初のキャンペーンでは、脅威アクターがAIサーバーをだまして、自分たちが管理するサーバーへ接続させようとしているのが確認された。彼らはモデルのダウンロードやWebhookといった機能を悪用し、所有者に気づかれないままサーバーに「自宅へ電話」させようとした。攻撃者はその後、コールバックを監視して、基盤となるシステムが脆弱かどうかを確認した。
2つ目のキャンペーンでは、GreyNoiseは2つのIPアドレスが、露出したAIエンドポイントを数万回にわたって執拗に叩いているのを確認した。目的はすぐに侵入することではなく、到達可能なAIモデルとその設定をマッピングすることだった。彼らは、警報を作動させることなくどのAIモデルが使われているかを特定するために、「米国には州がいくつありますか」といった非常に単純な質問を送っていた。
彼らはOpenAI風のAPI、Google Geminiのフォーマット、そして主要なモデルファミリー数十種を体系的にテストし、有料または内部向けのAIアクセスを誤って露出させてしまっているプロキシやゲートウェイを探していた。
GreyNoiseはまた、これが趣味の個人やサイバーセキュリティ研究者の仕業ではないことも確認したかった。2つ目のキャンペーンで使われたインフラには、現実世界での脆弱性悪用の長い履歴があり、さらにキャンペーンがクリスマス休暇中にピークを迎えていたことから、実際に悪意ある攻撃者の仕業であることが裏付けられた。
「OASTのコールバックは標準的な脆弱性調査手法です。しかし、規模とクリスマスのタイミングは、境界を押し広げるグレーハットな活動を示唆しています」とGreyNoiseは確認した。
さらに研究者は、同じサーバーが以前にも数百件のCVEをスキャンしているのが確認されていたと述べた。
