投稿者 global-ai-media 
セキュリティ企業の調査により、大規模言語モデル(LLM)を含むAIシステムを標的とした91,000件以上の攻撃セッションが観測されました。攻撃者がAIインフラの「偵察」を大規模に進めている現状は、AI活用が実験フェーズから実用フェーズへ移行する中で、セキュリティリスクもまた新たな段階に突入したことを示唆しています。
AIインフラが「偵察」されている意味
昨今の生成AIブームに伴い、多くの企業がLLM(大規模言語モデル)を活用したアプリケーションの開発や展開を急ピッチで進めています。しかし、セキュリティ企業GreyNoiseのレポートによると、これらAIの展開(デプロイメント)を狙った攻撃セッションが91,000件以上観測されました。
特に注目すべきは、攻撃者が単に無差別に攻撃を仕掛けているのではなく、AIワークロードがどこでどのように稼働しているかという「インフラの地図」を作成(マッピング)している点です。同社の研究者が指摘するように、「攻撃者は利用する計画なしに、これほど大規模なインフラのマッピングを行わない」のが定石です。これは、既知の脆弱性を突くための準備段階、あるいは将来的なゼロデイ攻撃(修正プログラムが未公開の脆弱性を狙う攻撃)に備えた偵察行為である可能性が高いと言えます。
狙われるのは「無防備な」AIコンポーネント
具体的に何が狙われているのでしょうか。多くの場合、AIモデルそのものというよりは、その周辺にある「足回り」のツール群です。
例えば、AIアプリケーションの構築によく利用されるオープンソースのフレームワークや、ベクトルデータベース(Vector DB:AIが長期記憶として利用するデータを格納するデータベース)、そしてモデルをホストしているサーバーの管理画面などが挙げられます。これらは、開発スピードを優先するあまり、認証設定が不十分なままインターネット上に公開されているケースが少なくありません。
日本国内でも、「PoC(概念実証)だから」という理由で、社内ネットワークのセキュリティポリシーから除外された環境でAIサーバーを立ち上げ、そのまま放置されているケースが散見されます。攻撃者はこうした「シャドーAI」とも呼ぶべき管理外の資産を虎視眈々と狙っています。
日本企業におけるリスクと「ラピッド開発」の弊害
日本企業、特にDX推進部門や新規事業開発部門では、業務効率化やサービス開発のためにRAG(検索拡張生成:社内文書などを参照させて回答精度を高める技術)の実装が流行しています。しかし、ここに大きな落とし穴があります。
RAGシステムでは、機密情報を含む社内データをベクトル化してデータベースに格納します。もしこのデータベースへのアクセス制御が不備であれば、プロンプトインジェクション(AIへの指示を操作して不適切な動作をさせる攻撃)を用いずとも、データベース自体への直接アクセスによって機密情報がごっそりと窃取されるリスクがあります。
また、AIエンジニアやデータサイエンティストは、伝統的なITインフラのセキュリティプラクティス(最小権限の原則やネットワーク分離など)に必ずしも精通していない場合があります。開発の民主化が進む一方で、セキュリティガバナンスが追いついていないのが現状です。
日本企業のAI活用への示唆
今回の観測データが示唆するのは、AIはもはや「新しいおもちゃ」ではなく、「攻撃価値の高いIT資産」になったという事実です。日本企業は以下の3点を意識して対策を進める必要があります。
- AI資産の棚卸しと可視化:社内で稼働しているAIプロジェクト、利用している外部API、立ち上げているクラウドインスタンスを網羅的に把握してください。情シス部門が把握していない「野良AIサーバー」が存在しないか、スキャンを実施することも有効です。
- AI特有のコンポーネントへの防御:従来のWebアプリケーションファイアウォール(WAF)だけでは、LLM特有の攻撃やベクトルDBへのアクセスを防ぎきれない場合があります。AI向けのセキュリティガイドライン(例:OWASP Top 10 for LLM)を参照し、モデルやデータへのアクセス制御を厳格化する必要があります。
- 「PoC環境」の隔離と監視:実証実験段階であっても、機密データを扱う以上は本番環境同等のセキュリティ対策、あるいは物理的・論理的なネットワーク分離が必須です。また、異常なトラフィック(大量のトークン消費や不審なIPからのアクセス)を検知できるモニタリング体制を整えることが、被害を最小限に抑える鍵となります。