- 17万5,000台のOllamaシステムが設定ミスにより、認証なしで公開状態
- 攻撃者はLLMjackingでインスタンスを悪用し、スパムやマルウェアのコンテンツを生成
- 原因はユーザーの設定ミスで、localhostのみにバインドすれば修正可能
セキュリティ研究者によると、世界中で約17万5,000台のOllamaシステムが露出しており、あらゆる種類の悪意ある活動のリスクにさらされているという。実際、すでに悪用されているものもあり、Ollamaのインスタンスを運用している人は再設定を検討したほうがよいだろう。
最近、SentinelOneのSentinelLABSとCensysは、多くの企業がOllamaを使ってAIモデルをローカルで実行している(AIは実行しているコンピューターのみに待ち受け、インターネットには待ち受けない)ことを発見した。
しかし、約17万5,000件では、localhostだけでなくすべてのネットワークインターフェースで待ち受けるように誤設定されており、その結果、パスワードなしでインターネット上の誰からでもAIにアクセスできる公開状態になっている。
LLMjacking
これらのインスタンスの多くは家庭用回線、VPSサーバー、またはクラウドマシン上で稼働しており、約半数は「ツール呼び出し」を許可している。つまりAIは質問に答えるだけでなく、コードの実行、APIの呼び出し、他システムとの連携も行える。
これらのインスタンスを見つけた悪意ある行為者は、さまざまな目的で悪用でき、Pillar Securityによれば、実際に多くが悪用されているという。LLMjackingと呼ばれる攻撃では、他人の電力、帯域、計算資源を使ってスパムやマルウェアのコンテンツを生成し、場合によってはそのアクセスを別の犯罪者に転売する。
さらに悪いことに、多くのシステムは通常の企業セキュリティの範囲外にあり、企業のファイアウォール、監視、認証などの恩恵を受けられない。これらの要因に加え、多くが家庭用IP上にあるため追跡が難しく、悪用されやすい。
さらに、一部のシステムは安全チェックが一切ない無検閲モデルを実行しており、悪用の可能性を高めている。
幸いなことに、これはソフトウェアのバグや脆弱性ではなく、比較的容易に対処できる。Ollamaはデフォルトでlocalhost(127.0.0.1)のみにバインドするため、問題はユーザーが保護なしでインスタンスをインターネットに公開してしまうことから始まる。必要なのはインスタンスを適切にロックダウンすることだけで、そうすればLLMjackingから安全になる。
