新たに特定された重大な脆弱性「GrafanaGhost」は、攻撃者がGrafana環境から機密のエンタープライズデータをサイレントに抽出するために使用されています。
Nomaの脅威研究チームの研究者によると、このエクスプロイトはクライアント側の保護とAIガードレールをバイパスし、ユーザーインタラクションやログイン認証を必要とせずに、外部サーバーへの不正データ転送を可能にしています。
監視と分析に広く使用されているGrafanaは、財務指標、インフラストラクチャのヘルスデータ、顧客記録などの極度に機密性の高い情報をしばしば保存しています。これにより、貴重な運用情報を求める攻撃者にとって魅力的なターゲットになっています。
複数の脆弱性の連鎖
GrafanaGhostは、アプリケーションロジックとAI動作の両方における複数の脆弱性を連鎖させることで機能します。
フィッシングや盗まれた認証情報に頼る代わりに、攻撃者はGrafanaが入力を処理する方法を操作します。
攻撃は複数の段階で展開されます:
-
外部パスが正当なデータリクエストを模倣するように作成される
-
間接的なプロンプトインジェクションがAIを騙して隠された命令を処理させる
-
プロトコル相対URLがドメイン検証チェックをバイパスする
-
機密データが送信リクエストに添付され、攻撃者が管理するサーバーに送信される
これらのメカニズムを利用することで、攻撃者はシステムが外部コンテンツをレンダリングしようとするときに自動的なデータ流出をトリガーできます。このプロセスはまったくバックグラウンドで発生し、ユーザーまたは管理者に明らかな痕跡を残しません。
シンプルな技術でバイパスされるAIガードレール
Nomaは、Grafanaの組み込みセーフガードが比較的シンプルな方法でバイパスできることを発見しました。URL検証の欠陥により、外部ドメインが内部リソースとして偽装できました。
一方、注入されたプロンプトに「INTENT」などの特定のキーワードを含めることで、AIモデルは独自のセーフティ制限を無視するようになります。
「GrafanaGhostは、AI統合がセキュリティの盲点をいかに大規模に生み出すかを完璧に示しています。システムコンポーネントを設計通りに使用しながら、モデルが悪意のあるものとして検証できない命令を使用しています」とAcalvioのCEO、Ram Varadarajanはコメントしました。
「間接的なプロンプトインジェクションは従来の防御をバイパスし、認証情報やユーザーインタラクションを必要としないため、攻撃者は財務指標やインフラストラクチャの状態などの機密の運用テレメトリを、ルーティン画像レンダリングに偽装してサイレントに流出させることができます。」
AIセキュリティ脆弱性について詳しく読む: セキュリティ研究者がAIが生成したコードの脆弱性について警告を発動
これらの調査結果は、サイバーセキュリティリスクのより広い転換を強調しています。従来のソフトウェアの欠陥をターゲットにするのではなく、攻撃者はますますAI駆動システムと間接的なプロンプトインジェクション技術に焦点を当てています。
組織に対する目に見えない脅威
GrafanaGhostの最も懸念される側面の1つはその隠密性です、とNomaは警告しています。フィッシングメール、疑わしいリンク、または明らかなシステムアラートはありません。ユーザーの観点からは、通常のダッシュボード活動は中断することなく続きます。
「根本的な攻撃パターンである、レンダリングされたコンテンツを介したデータ流出につながる間接的なプロンプトインジェクションは、十分に文書化された正当な攻撃タイプです」とBeyondTrustのシニアバイスプレジデント兼副CISO、Bradley Smithは説明しました。
セキュリティチームにとって、これは大きな課題を生み出しています。データは予想通りに流れているように見えますが、実際には機密情報がリアルタイムで吸い上げられています。
「これに対抗するために、セキュリティチームはアプリケーション層の切り替えを超えてネットワークレベルのURLブロッキングに移り、プロンプトインジェクションをエッジケースではなく主要な脅威として扱う必要があります」とVaradarajanは述べました。
「AI駆動ツーリングを保護する唯一の方法は、エージェントに何が伝えられたかを監視することから、実際に何をするかの実行時の行動監視にシフトすることです。」
翻訳元: https://www.infosecurity-magazine.com/news/grafanaghost-silent-data/
