大規模言語モデル(LLM)への脅威を理解する
サイバーセキュリティの状況が進化する中で、大規模言語モデル(LLM)は悪意ある攻撃者にとって重要な標的として浮上しています。本記事では、公開されたAIモデルを狙う継続的な偵察キャンペーンの概要を示し、強固なセキュリティ対策の必要性を強調します。
広範な偵察キャンペーン
最近の調査により、OpenAIのGPT-4やGoogleのGeminiといった人気モデルを含む複数のLLMを、脅威アクターが探る組織的な取り組みが明らかになりました。GreyNoiseの研究者は、2つの異なるIPアドレスから発生した80,000件超の列挙リクエストを報告しています。この大規模なスキャンは、商用APIを意図せず未承認アクセスにさらしてしまう可能性のある、設定不備のプロキシサーバーを特定することを目的としています。
潜在的な標的への通知
研究チームは事態の深刻さを強調し、「公開されたLLMエンドポイントを運用しているなら、あなたはおそらくすでに誰かのリストに載っている」と述べました。この種のインフラマッピングは通常、標的型サイバー攻撃の前兆を示します。
主な標的モデル
偵察活動は、以下を含む(ただしこれらに限られない)幅広いLLMファミリーに及びました。
- OpenAI: GPT-4およびその派生
- Anthropic: Claude Sonnet、Opus、Haiku
- Meta: Llama 3.x
- DeepSeek: DeepSeek-R1
- Google: Gemini
- Mistral
- Alibaba: Qwen
- xAI: Grok
12月28日に開始されたこのキャンペーンは、11日間の期間内に73を超えるLLMモデルのエンドポイントを体系的に探索し、セキュリティアラートの発報を最小限に抑えるため、無害なテストクエリを用いました。
攻撃ベクトルの専門化に関する懸念
- CVE-2025-55182: React2Shellの脆弱性
- CVE-2023-1389: TP-Link Archerの脆弱性
このような履歴は、関与する脅威アクターのプロフェッショナルな水準を示すとともに、現在の活動の背後に、より広範な悪用戦略があることを示唆しています。
SSRF脆弱性に焦点を当てた第2のキャンペーン
LLMに対する偵察に加えて、サーバーサイドリクエストフォージェリ(SSRF)脆弱性を狙う並行キャンペーンも観測されています。この手法は、サーバーに攻撃者が管理するインフラへの外向きリクエストを強制し、データ侵害につながる可能性があります。
悪用手法
攻撃者は、ハニーポットインフラのモデル取得(pull)機能に悪意あるURLを注入し、サーバーリクエストをリダイレクトしました。また、Webhook連携も標的とし、パラメータを操作して未承認の外向き接続を誘発しました。攻撃者は、ProjectDiscoveryのOut-of-band Application Security Testing(OAST)などのツールを用いて、悪用の成功を検証しました。
LLMを保護するための推奨事項
LLMに対する脅威が増大していることを踏まえ、組織には強固なセキュリティ対策の実装が推奨されます。
-
モデル取得(Pull)を制限する: 露出を減らすため、フレームワークからのモデル取得が信頼できるレジストリからの入力のみを受け付けるようにしてください。
-
エグレスフィルタリングを実装する: この手法は、SSRFのコールバックが攻撃者管理インフラに到達するのを防ぐのに役立ちます。
-
列挙パターンを監視する: 複数のモデルエンドポイントに対する高速連続リクエストに対してアラートシステムを構築してください。これは脆弱性のマッピングを試みている兆候である可能性があります。
-
DNSでOASTをブロックする: 悪用成功を示すコールバックチャネルを遮断することで、リスク低減に役立ちます。
-
疑わしいASNにレート制限をかける: 攻撃トラフィックで目立っている主要ASN識別子は、追加活動を未然に防ぐために厳重に監視すべきです。
結論
絶えず変化するサイバーセキュリティ環境に対応するため、LLMを利用する組織にとって、監視・保護・適応は不可欠です。脅威を特定し緩和するためのプロアクティブな対策により、企業は悪意あるエクスプロイトからAIインフラを守ることができます。これらの攻撃の複雑さは、LLMがもたらす固有の課題に合わせた警戒と強化されたサイバーセキュリティ実践が急務であることを浮き彫りにしています。
翻訳元: https://cyberwarriorsmiddleeast.com/coordinated-attack-campaign-on-llms-unveiled/
