攻撃者は、商用大規模言語モデル(LLM)サービスへのアクセスを提供する可能性のある、誤った設定のプロキシサーバーを組織的に探している。
12月下旬に開始されたキャンペーンでは、攻撃者は73以上のLLMエンドポイントを調査し、80,000以上のセッションを生成しています。
脅威モニタリング・プラットフォームGreyNoiseによると、攻撃者は低ノイズのプロンプトを使用してエンドポイントに問い合わせを行い、セキュリティ・アラートをトリガーすることなく、アクセスされたAIモデルを特定しようとしている。
グレーハット作戦
GreyNoiseのレポートによると、過去4カ月間に同社のOllamaハニーポットは、2つの異なるキャンペーンの一部である合計91,403件の攻撃をキャッチした。
1つのキャンペーンは10月に開始され、クリスマス前後の48時間に1,688セッションのスパイクを記録し、現在も活動中である。SSRF(サーバサイドリクエストフォージェリ)の脆弱性を悪用し、攻撃者が管理する外部インフラにサーバを接続させるものである。
研究者によると、この作戦の背後にいる攻撃者は、Ollamaのモデルプル機能を使用して、MediaURLパラメータを介して悪意のあるレジストリURLとTwilio SMSウェブフック統合を注入することで目標を達成した。
しかし、使用されたツールに基づき、GreyNoiseは、彼らが脆弱性評価で通常使用されるProjectDiscoveryのOAST(帯域外のアプリケーション・セキュリティ・テスト)インフラストラクチャを使用したことから、この活動はセキュリティ研究者またはバグ賞金稼ぎから発信された可能性が高いと指摘している。
「OASTコールバックは標準的な脆弱性調査手法である。しかし、その規模とクリスマスのタイミングは、境界を押し広げるグレーハット作戦を示唆している。
テレメトリーデータから、このキャンペーンは27カ国にわたる62のIPアドレスから発信されており、ボットネット運用の兆候ではなく、VPSのような特徴を示していることが明らかになりました。
.jpg)
グレイノイズ
脅威行為者の活動
GreyNoiseは、12月28日に始まった2回目のキャンペーンを観測し、露出した、または誤った設定のLLMエンドポイントを特定するための大量の列挙作業を検出しました。
11日間にわたり、この活動は80,469のセッションを生成し、2つのIPアドレスがOpenAI互換およびGoogle Gemini APIフォーマットの両方を使用して73以上のモデルのエンドポイントを組織的に調査しました。
対象となったモデルのリストには、以下を含むすべての主要なプロバイダーのものが含まれていました:
- OpenAI(GPT-4oとその亜種)
- Anthropic (Claude Sonnet, Opus, Haiku)
- Meta (Llama 3.x)
- DeepSeek (DeepSeek-R1)
- グーグル(ジェミニ)
- ミストラル
- アリババ(Qwen)
- xAI (Grok)
LLMサービスへのアクセスをテストする際にセキュリティ警告を回避するために、攻撃者は短い挨拶、空の入力、事実に基づいた質問などの無害なクエリを使用した。
GreyNoiseによれば、このスキャン・インフラは以前から広範な脆弱性悪用の活動に関連しており、この列挙はアクセス可能なLLMサービスをカタログ化するための組織的な偵察活動の一環であることを示唆している。
GreyNoiseの報告書では、発見後の悪用、データの窃盗、モデルの悪用は確認されていないとしているが、それでもこの活動は悪意があることを示している。
“8万件の列挙要求は投資を意味する “と研究者は警告し、”脅威の主体は、そのマップを使用する計画なしに、この規模でインフラをマッピングしない “と付け加えた。
この活動を防御するには、Ollamaモデルのプルを信頼できるレジストリに制限し、イグレス・フィルタリングを適用し、既知のOASTコールバック・ドメインをDNSレベルでブロックすることが推奨される。
列挙に対する対策としては、疑わしい ASN のレートを制限し、自動スキャンツールにリンクされた JA4 ネットワークのフィンガープリントを監視することが挙げられる。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
MCPのための7つのセキュリティ・ベスト・プラクティス
MCP(モデル・コンテキスト・プロトコル)がLLMをツールやデータに接続するための標準になるにつれて、セキュリティ・チームはこれらの新しいサービスを安全に保つために迅速に動いています。
この無料のチート・シートには、今日から使える7つのベスト・プラクティスがまとめられています。
Comments