概要
Pillar Securityの研究者たちは、公開されたLLM(大規模言語モデル)サービスエンドポイントを標的とする悪質なキャンペーン「Bizarre Bazaar」を発見しました。
40日間で35,000回以上の攻撃セッションがハニーポットで記録されており、これは特定の脅威アクターに帰属する「LLMjacking」攻撃の最初の事例の一つとして注目されています。
「Bizarre Bazaar」作戦の目的
この作戦では、認証が不十分なAIインフラへの不正アクセスを商業化しており、主な目的は以下の通りです。
- コンピューティングリソースを盗用し、仮想通貨マイニングに利用する。
- ダークネット市場でAPIアクセスを転売する。
- プロンプトや会話履歴から機密データを抜き出す。
- Model Context Protocol (MCP) サーバーを介して、内部システムへの横方向の動き(ラテラルムーブメント)を試みる。
主な攻撃ベクトルと脆弱性
攻撃者は、主に以下のような誤設定や脆弱性を悪用します。
- 自己ホスト型LLMのセットアップ
- 認証されていない、または公開されているAI API
- 公開アクセス可能なMCPサーバー
- パブリックIPアドレスを持つ開発またはステージング環境のAI
具体的には、認証されていないOllamaエンドポイント(ポート11434)、OpenAI互換API(ポート8000)、認証されていない本番チャットボットなどが標的とされています。ShodanやCensysなどのインターネットスキャンで誤設定されたエンドポイントが発見されると、数時間以内に攻撃が開始されると報告されています。
影響と脅威の深刻さ
Pillar Securityは、この脅威が従来のAPI乱用とは異なると指摘しています。なぜなら、侵害されたLLMエンドポイントは、高額な推論コストを発生させ、機密性の高い組織データを露呈させる可能性があり、さらにシステム内部への横方向の動き(ラテラルムーブメント)の機会を提供するからです。
以前、GreyNoiseも同様の活動を報告していましたが、Pillar Securityの調査により、3つの脅威アクターが連携して活動する犯罪サプライチェーンが明らかになりました。
脅威アクターの構造と収益化
「Bizarre Bazaar」作戦に関与する脅威アクターは以下の3段階で構成されています。
- ボットを使用してLLMおよびMCPエンドポイントを組織的にスキャンする者。
- 発見されたエンドポイントの検証とアクセス可能性をテストする者。
- 「silver[.]inc」という商業サービスを運営し、TelegramやDiscordで宣伝し、仮想通貨やPayPalでアクセス権を転売する者。
SilverIncは、「NeXeonAI」というプロジェクトを宣伝しており、これは50以上のAIモデルへのアクセスを提供する「統一AIインフラストラクチャ」とされています。この作戦は、「Hecker」「Sakuya」「LiveGamer101」というエイリアスを使用する特定の脅威アクターに帰属されています。
MCPエンドポイントを狙う別の動き
Pillar Securityは、「Bizarre Bazaar」とは別に、MCPエンドポイントの偵察に焦点を当てた別のキャンペーンも追跡しています。このキャンペーンは、Kubernetesの相互作用、クラウドサービスへのアクセス、シェルコマンド実行を介したラテラルムーブメントの機会を狙っており、リソース消費ベースの収益化戦術よりも価値が高いとされています。
現状とセキュリティ対策
現在、「Bizarre Bazaar」キャンペーンは進行中であり、SilverIncサービスも稼働を続けています。BleepingComputerはSilverIncにコメントを求めていますが、現時点では返答はありません。
MCP(Model Context Protocol)がLLMとツールやデータを接続するための標準となるにつれて、そのセキュリティ対策は喫緊の課題となっています。「7 Security Best Practices for MCP」のようなベストプラクティスを導入することが、これらの新しいサービスを安全に保つために不可欠です。