概要：17万5千台のOllama AIサーバーが公に露出

SentinelOne SentinelLABSとCensysによる共同調査で、オープンソースのAI展開フレームワーク「Ollama」を利用した175,000台ものAIサーバーが、世界130カ国で公に露出していることが明らかになりました。これらのシステムは「管理されていない、公にアクセス可能なAIコンピューティングインフラストラクチャ」を形成し、デフォルトのセキュリティガードレールや監視システムなしで動作していると報告されています。

露出しているサーバーの大部分は中国に集中しており、全体の30%以上を占めています。その他、米国、ドイツ、フランス、韓国、インド、ロシア、シンガポール、ブラジル、英国がインフラのフットプリントが大きい国として挙げられています。

Ollamaのセキュリティリスクとツール呼び出し機能の脅威

調査によると、観測されたホストの約半数近く（48%以上）がツール呼び出し機能を備えています。この機能により、LLMはコードの実行、APIへのアクセス、外部システムとの対話が可能になります。研究者たちは、このツール呼び出し機能が脅威モデルを根本的に変化させると警告しています。単なるテキスト生成だけでなく、認証が不十分な状況でネットワークに露出している場合、特権的な操作を実行する可能性があり、エコシステムにおける最高レベルの深刻なリスクを生み出すとしています。

さらに、テキスト以外の推論や視覚能力をサポートするホストも確認されており、201台のホストでは安全ガードレールを削除する無修正のプロンプトテンプレートが実行されていました。

LLMjackingキャンペーン「Operation Bizarre Bazaar」

このような露出したシステムは、「LLMjacking」と呼ばれる攻撃に悪用される可能性があります。これは、悪意のあるアクターが被害者のLLMインフラリソースを不正に利用し、スパムメールの生成、偽情報キャンペーン、仮想通貨のマイニング、さらには他の犯罪グループへのアクセス再販などを行うものです。

このリスクはすでに現実のものとなっており、Pillar Securityが今週発表したレポートによると、「Operation Bizarre Bazaar」と名付けられたLLMjackingキャンペーンが活発に展開されています。この作戦は、インターネット上で露出しているOllamaインスタンス、vLLMサーバー、および認証なしで実行されているOpenAI互換APIを体系的にスキャンし、応答品質を評価して検証し、その後、silver[.]incというプラットフォームで割引価格でアクセスを商業化するというものです。

このエンドツーエンドの作戦は、脅威アクター「Hecker (aka Sakuya and LiveGamer101)」に追跡されています。

対策と今後の課題

Ollamaエコシステムの分散型かつ管理されていない性質は、ガバナンスのギャップを生み出し、プロンプトインジェクションや悪意のあるトラフィックを被害者インフラを通じてプロキシする新たな経路を作り出しています。

セキュリティ専門家は、防御側に対し、LLMを他の外部アクセス可能なインフラストラクチャと同様に、認証、監視、およびネットワーク制御で扱う必要があると強調しています。特に、多くのインフラが住宅ネットワーク上に存在するため、従来のガバナンスでは対応が困難であり、管理されたクラウド展開と分散型エッジインフラを区別する新たなアプローチが必要とされています。

---

元記事: https://thehackernews.com/2026/01/researchers-find-175000-publicly.html