イントロダクション
Oligo Securityの研究者たちは、AIインフラを標的とした新たな世界的なハッキングキャンペーン「ShadowRay 2.0」を発見しました。この作戦は、数多くのAIシステムを支えるオープンソースフレームワーク「Ray」における既知の、しかし「係争中」の脆弱性「CVE-2023-48022」を悪用します。これにより、攻撃者はコンピューティングクラスターを乗っ取り、暗号通貨マイニング、データ流出、分散型サービス拒否(DDoS)攻撃が可能な自己増殖型ボットネットに組み込んでいます。
攻撃の進化と持続性
2025年11月初旬、Oligoの研究チームは、広く利用されているオープンソースのAIオーケストレーションフレームワークであるRayの「CVE-2023-48022」を積極的に悪用する脅威アクターを特定しました。これは、Oligoが2023年後半に最初に観測した悪用の継続であり、現在はMITREキャンペーンC0045として正式に記録されています。IronErn440という別名で活動する攻撃者たちは、初期のShadowRay発見以来、戦術を大幅に進化させ、単純な暗号通貨マイニングの試みから高度な多目的ボットネットインフラへと変貌させています。
このキャンペーンは驚くべき運用上の機敏性を示しています。Oligoが2025年11月5日に最初のGitLabでホストされていた攻撃インフラを報告した後、脅威アクターは数日以内にGitHubに移行し、11月10日には新しいリポジトリを設立しました。決定的なパッチの欠如と、ユーザーがクラスターを自己保護するという前提が相まって、脅威アクターは同じ根底にある弱点を武器化し、新たなShadowRay v2キャンペーンへと至っています。
GitHubでのテイクダウンが11月17日にあったにもかかわらず、攻撃者は同日に直ちに代替インフラを立ち上げ、キャンペーンの継続的な持続性と自動化を実証しました。この脆弱性はRayのメンテナーによって「設計上の特性」として争われ、厳密に管理されたネットワーク環境でのみ安全であると主張されています。しかし、実際の展開ではこれらの警告に留意せずRayが公開されることが多く、攻撃者が体系的に悪用できる期間が長期化しています。
技術的な巧妙さ
ShadowRay 2.0を特徴づけるのは、AIシステムを攻撃するためにAIそのものを使用している点です。分析により、攻撃者がLLM(大規模言語モデル)生成ペイロードを活用して悪用方法を加速し、適応させていることが明らかになりました。キャンペーンでは高度な回避技術が採用されており、これには検出システムの発動を避けるためにCPU使用率を約60%に制限すること、悪意のあるプロセスを正規のLinuxカーネルワーカーとして偽装すること、そしてRayの監視インフラからGPUの使用を隠蔽しながらプレミアムな計算リソースを密かに消費することなどが含まれます。
攻撃者たちは、従来の脆弱性を悪用するのではなく、Rayの正当なオーケストレーション機能を武器化しました。NodeAffinitySchedulingStrategy APIを悪用することで、侵害されたクラスター内のすべてのノードにマルウェアを配布しました。これは、インフラ設計を通じた水平移動を示し、Rayの意図された機能を攻撃ベクトルに変えています。
攻撃規模と影響
脅威の状況は劇的に拡大しています。最初のShadowRayの発見以来、公開されたRayサーバーは数千から全世界で23万インスタンス以上へと10倍に増加しました。その多くは、活動中のスタートアップ、研究室、クラウドホスト型AI環境に属しています。Oligoは、数千のアクティブノードを持つ侵害されたクラスターを特定しており、その一部は年間400万ドルを超えるインフラコストを発生させています。
この作戦は2024年9月まで遡ることが示唆されており、自動化された発見メカニズムが複数の大陸で脆弱なRayダッシュボードを特定していました。攻撃者は、アウトオブバンドアプリケーションセキュリティテストプラットフォームを利用し、インターネットに接続されたRayインスタンス全体にペイロードを散布し、コールバックメカニズムを通じて成功した侵害を追跡しました。
多層的な攻撃目的
暗号通貨マイニングにとどまらず、このキャンペーンはデータ流出とインフラ侵害にまで及ぶ能力を示しています。攻撃者はデータベースの認証情報を発見して流出させ、独自のAIモデルにアクセスし、ソースコードやデータセットを盗み、生産インフラに対してsockstressを含む分散型サービス拒否ツールを展開しました。ペイロードのコメントの一つに残されたGitLabユーザー名は、おそらく古いリポジトリからの古いペイロードの残り物であり、同じグループによる悪意のある活動のためにブロックされていたことが示唆されています。
複数の犯罪グループがリソースを奪い合い、正当なワークロードや競合する暗号通貨マイニングを積極的に終了させて利益を最大化していました。
推奨される対策
この悪用が持続する一因は、CVE-2023-48022が「係争中」のままであることです。Rayのメンテナーは、この脆弱性が厳密に管理されたネットワーク環境でのみ安全な設計上の特性であると主張しています。しかし、現実の展開ではこれらの警告に留意せずRayが公開されることが多く、攻撃者が体系的に悪用できる期間が長期化しています。
Rayを展開している組織は、以下の対策を緊急に講じるべきです。
- AnyscaleのRay Open Ports Checkerを使用してクラスター構成を検証する。
- アクセスを制限するファイアウォールルールを実装する。
- ダッシュボードポートで認証を有効にする。
- 異常検知のためにランタイムセキュリティ監視を展開する。
この事件は、オープンソースコンポーネントの構成を理解し、生産AIインフラの挙動を継続的に可視化することの極めて重要な重要性を強調しています。ShadowRay 2.0キャンペーンは、クラウドセキュリティの脅威が根本的に変化していることを示しており、攻撃者が正規のクラウドオーケストレーション機能とAI技術を、それらが管理するために設計されたシステムに対して武器化する方法を実証しています。