概要:LLMサービスを狙うサイバー攻撃
脅威アクターが、設定が不適切に施されたプロキシサーバーを悪用し、商用大規模言語モデル(LLM)サービスへの不正アクセスを試みるキャンペーンを組織的に展開しています。この動きは12月下旬に始まり、すでに73以上のLLMエンドポイントが探索され、80,000回以上のセッションが生成されていることが報告されています。
脅威監視プラットフォームのGreyNoiseによると、攻撃者はセキュリティアラートを回避するため、目立たないプロンプトを使用してLLMモデルの種類を特定しようとしています。
Ollamaハニーポットが検出した二つのキャンペーン
GreyNoiseは、過去4ヶ月間でOllamaハニーポットが合計91,403件の攻撃を検知したと報告しており、これらは二つの異なるキャンペーンによるものです。
1. サーバーサイドリクエストフォージェリ (SSRF) 悪用キャンペーン
- 開始時期:昨年10月に始まり、現在も活動中。クリスマス頃に1,688セッションという急増が見られました。
- 攻撃手法:サーバーサイドリクエストフォージェリ(SSRF)の脆弱性を悪用し、サーバーを攻撃者管理下の外部インフラストラクチャに強制的に接続させます。
- 詳細:攻撃者はOllamaのモデルプル機能を利用し、悪意のあるレジストリURLやTwilio SMSのWebhook統合をMediaURLパラメーターを介して注入しました。
- 攻撃者のプロファイル:使用されたツールから、ProjectDiscoveryのOAST(Out-of-band Application Security Testing)インフラが利用されていることから、セキュリティ研究者やバグハンターによる活動である可能性が高いとGreyNoiseは指摘しています。彼らは「OASTコールバックは標準的な脆弱性研究手法ですが、その規模とクリスマスのタイミングは、境界を押し広げるグレーハットの活動を示唆しています」と述べています。
- 発信元:27カ国にわたる62のIPアドレスから発信され、ボットネットではなくVPSのような特性を示しています。
2. LLMエンドポイントの網羅的探索キャンペーン
- 開始時期:12月28日に開始され、公開または設定不備のLLMエンドポイントを特定するための大規模な探索活動が行われています。
- 規模:11日間で80,469セッションを生成し、2つのIPアドレスがOpenAI互換およびGoogle Gemini API形式の両方を使用して、73以上のモデルエンドポイントを系統的に探索しました。
- ターゲットモデル:以下の主要プロバイダーのモデルが対象となりました。
- OpenAI:GPT-4oとそのバリアント
- Anthropic:Claude Sonnet, Opus, Haiku
- Meta:Llama 3.x
- DeepSeek:DeepSeek-R1
- Google:Gemini
- Mistral
- Alibaba:Qwen
- xAI:Grok
- 攻撃回避策:攻撃者は、短い挨拶、空の入力、事実に関する質問など、無害なクエリを使用することでセキュリティアラートの発生を回避しました。
- 背後にある意図:このスキャンインフラは以前から広範な脆弱性悪用活動と関連しており、組織的な偵察活動の一環としてアクセス可能なLLMサービスをカタログ化している可能性が示唆されています。GreyNoiseは、発見後の悪用、データ盗難、モデルの不正利用は確認されていないものの、この活動が悪意のある意図を示していると警告しています。「8万件の探索リクエストは投資を意味します。脅威アクターは、そのマップを使用する計画なしに、これほどの規模でインフラをマッピングすることはありません」と研究者は付け加えています。
推奨される防御策
この種の活動から防御するために、以下の対策が推奨されています。
- Ollamaのモデルプルを信頼できるレジストリに制限する。
- Egressフィルタリングを適用する。
- 既知のOASTコールバックドメインをDNSレベルでブロックする。
- 疑わしいASN(自律システム番号)からのアクセスをレートリミットで制限する。
- 自動スキャンツールに関連するJA4ネットワークフィンガープリントを監視する。