主要な商用モデル提供事業者を標的とした大規模な偵察キャンペーンは、人工知能の導入が拡大することで広がる攻撃対象領域を把握することを目的としている可能性が高い。
セキュリティ監視プラットフォームのGreyNoiseは、10月から今月にかけて同社のOllamaハニーポット基盤に対する91,403件の攻撃セッションを捕捉し、AI導入の脆弱性を体系的に探す2つのオペレーションを明らかにした。これらのキャンペーンは、OpenAI、Anthropic、Meta、Google、DeepSeek、Mistral、Alibaba、xAIのモデルを攻撃した。
そのうちの1つのキャンペーンは、セキュリティ研究者の間で特に懸念を呼んだ。2つのインターネットプロトコル(IP)アドレスが12月28日に開始し、11日間にわたり73以上の大規模言語モデルのエンドポイントに対して系統立ててプローブを実施し、OpenAIとGoogle GeminiのAPI形式をテストする80,469件のセッションを作成した。
攻撃者は、セキュリティアラートの発報を避けるために無害なテストクエリを使用した。偵察トラフィックでは単純なプロンプトが大半を占め、「hi」という挨拶が最も頻繁に現れたほか、「米国には州がいくつありますか?」や「strawberryという単語には文字’r’がいくつありますか?」といった質問が、当初の疑念を招かずに稼働中のエンドポイントを特定するために用いられた。
両方のIPアドレスには既知の脆弱性を悪用してきた履歴があり、この列挙がより大きな悪用パイプラインに組み込まれていることを示唆している。GreyNoiseは、このキャンペーンはプロの脅威アクターによって実施された可能性が高いと評価した。「80,000件の列挙リクエストは投資だ」とGreyNoiseは述べた。「脅威アクターは、その地図を使う計画なしに、この規模でインフラをマッピングしない。」
もう一方のキャンペーンは10月に始まり、サーバーサイド・リクエスト・フォージェリ(SSRF)の脆弱性を悪用した。これらの欠陥は、サーバーに攻撃者が管理するインフラへの外向き接続を強制する。このオペレーションは12月25日前後に劇的な急増を示し、2日間で1,688件のセッションを生成した。
攻撃者はこのキャンペーンで2つのベクターを標的にした。Ollamaのモデル取得(pull)機能を通じて悪意のあるレジストリURLを注入し、サーバーに攻撃者インフラへのHTTPリクエストを強制した。また、TwilioのSMS Webhook連携におけるMediaUrlパラメータを操作して外向き接続を引き起こした。
このキャンペーンは、コールバック検証によって悪用を確認するためにProjectDiscoveryのOut-of-Band Application Security Testing(OAST)基盤を使用した。この手法により、攻撃者はサーバーが要求された動作を実行したかどうかを、サーバーが自分たちの管理下にあるシステムへ接続し返したかを確認することで検証できる。
ネットワーク・フィンガープリンティングにより運用上の構造が明らかになり、単一のJA4Hシグネチャが攻撃の99%に出現した。JA4Hは、アプリケーションがネットワーク上でどのように通信するかのパターンを識別するフィンガープリンティング手法であり、このシグネチャは、一般的な脆弱性スキャンフレームワークであるNucleiを含む可能性が高い共通の自動化ツールを示していた。
62の送信元IPアドレスは27カ国に分散していたが、一貫したフィンガープリントは、ボットネット運用ではなく仮想プライベートサーバー(VPS)ベースのインフラであることを示している。
GreyNoiseは、このキャンペーンはセキュリティ研究者またはバグバウンティ・ハンターに由来する可能性が高いと評価し、OASTコールバックは標準的な脆弱性調査手法だと述べた。しかし、その規模と休日のタイミングは、境界を押し広げるオペレーションであることを示唆している。
これらのキャンペーンは、公開されたLLMエンドポイントを運用する組織を標的とし、商用APIへのアクセスを漏えいさせ得る設定不備のプロキシサーバーを特に狙っていた。
翻訳元: https://www.databreachtoday.com/threat-actors-launch-mass-reconnaissance-ai-systems-a-30496
