悪意あるキャンペーンが、露出したLLM(大規模言語モデル)サービスのエンドポイントを積極的に標的にし、AIインフラへの不正アクセスを商業化している。
40日間にわたり、Pillar Securityの研究者は同社のハニーポットで35,000回を超える攻撃セッションを記録し、露出している、または認証が不十分なAIエンドポイントへのアクセスを収益化・悪用する大規模なサイバー犯罪作戦の発見につながった。
研究者らはこのキャンペーンを「Bizarre Bazaar」と呼び、特定の脅威アクターに帰属される「LLMjacking」攻撃の初期事例の一つであると強調している。
BleepingComputerと共有されたレポートによると、Bizarre Bazaarは保護が弱いLLMインフラのエンドポイントへの不正アクセスを通じて、次のことを行うという。
- 暗号資産マイニングのために計算資源を盗む
- ダークネット市場でAPIアクセスを転売する
- プロンプトや会話履歴からデータを流出させる
- Model Context Protocol(MCP)サーバー経由で内部システムへのピボットを試みる
一般的な攻撃ベクトルには、セルフホストのLLM構成、露出または未認証のAI API、公開アクセス可能なMCPサーバー、そしてパブリックIPアドレスを持つ開発/ステージング用AI環境が含まれる。
通常、攻撃者は、ポート11434で認証なしのOllamaエンドポイント、ポート8000のOpenAI互換API、認証なしの本番チャットボットといった設定ミスを悪用する。
研究者らは、攻撃はShodanやCensysのインターネットスキャンに設定ミスのあるエンドポイントが現れてから数時間以内に始まると指摘している。
「この脅威は従来のAPI悪用とは異なります。侵害されたLLMエンドポイントは大きなコスト(推論は高価)を発生させ、組織の機密データを露出させ、横展開の機会を提供し得るからです」と、Pillar Securityは述べている。
月初には、GreyNoiseのレポートが同様の活動を取り上げ、攻撃者が主に列挙(enumeration)目的で商用LLMサービスを標的にしていたことを明らかにした。
Pillar Securityの調査結果は、同一作戦の一部として協力している可能性が高い3つの脅威アクターが関与する犯罪サプライチェーンを示している。
1つ目はボットを使ってインターネット上のLLMおよびMCPエンドポイントを体系的にスキャンする。2つ目は発見内容を検証し、アクセスをテストする。3つ目はTelegramとDiscordで宣伝されている「silver[.]inc」という商用サービスを運営し、暗号資産またはPayPalでの支払いと引き換えにアクセスを転売している。
SilverIncはNeXeonAIというプロジェクトを宣伝しており、主要プロバイダーの50以上のAIモデルへのアクセスを提供する「統合AIインフラ」として広告されている。
出典: Pillar Security
研究者らはまた、「Hecker」「Sakuya」「LiveGamer101」という別名を用いる特定の脅威アクターに、この作戦を帰属させた。
Pillar Securityは、Bizarre BazaarがLLM APIの悪用に焦点を当てている一方で、MCPエンドポイントの偵察に焦点を当てた別のキャンペーンも追跡していると報告している。
この標的化により、Kubernetesとのやり取り、クラウドサービスへのアクセス、シェルコマンド実行を介した横展開の機会が増える。これらは、リソース消費型の収益化手法よりも価値が高いことが多い。
この第2のキャンペーンはBizarre Bazaarとは関連付けられていないが、つながりが存在する可能性はある。
執筆時点でこのキャンペーンは継続中で、SilverIncのサービスも稼働を続けている。BleepingComputerはPillarの調査結果についてコメントを求めて同プラットフォームに連絡したが、公開時点までに返答は得られていない。
