投稿者 global-ai-media 
複数の大規模言語モデル(LLM)を統合管理する人気ツール「LiteLLM」において、認証情報を窃取するサプライチェーン攻撃が確認されました。本記事では、このインシデントを教訓に、日本企業がAI開発・運用を進める上で見落としがちなセキュリティリスクと、実務に求められるガバナンスのあり方を解説します。
AI開発を支えるインフラを狙うサプライチェーン攻撃
近年、ソフトウェアの開発プロセスや依存ライブラリに悪意のあるコードを混入させる「サプライチェーン攻撃」が深刻化しています。先日、海外メディアにて、複数のLLMのAPIを統一的なインターフェースで呼び出せる人気オープンソースツール「LiteLLM」が、この攻撃の標的になったことが報じられました。
報道によると、悪意のあるバージョンのLiteLLMには「インフォスティーラー(情報窃取マルウェア)」が仕込まれており、これを利用したシステムの環境変数から、クラウドのアクセスキーや各種認証情報が外部のサーバーへ自動的に送信される仕組みになっていました。生成AIを活用したシステム開発において、開発ツールそのものがサイバー攻撃の経路となるリスクが現実のものとなっています。
なぜ「AIプロキシ」が狙われるのか
LiteLLMのようなツールは「AIプロキシ」や「LLMゲートウェイ」と呼ばれ、OpenAI、Anthropic、Googleなど、異なるプロバイダーのAIモデルをシームレスに切り替えて利用するために重宝されています。日本企業においても、特定のベンダーへの依存(ベンダーロックイン)を避けたり、用途に応じて最適なモデルを使い分けたりするために、社内AI基盤やプロダクトの裏側で導入が進んでいます。
しかし、こうしたAIプロキシツールは、システムアーキテクチャの性質上、複数のLLMサービスのAPIキーや、それをホストするクラウド環境のアクセス権限を一手に引き受けることになります。つまり、攻撃者から見れば「ここを突破すれば、あらゆる重要システムの鍵束が手に入る」という非常に魅力的な標的となるのです。万が一APIキーが流出すれば、第三者によるLLMの不正利用による高額なクラウド請求や、機密データへのアクセスといった致命的な被害につながる恐れがあります。
日本の開発現場に潜むリスクと組織文化の課題
日本国内でも、業務効率化や新規サービス開発を目的とした生成AIのPoC(概念実証)や本番導入が急ピッチで進んでいます。その一方で、開発スピードを優先するあまり、利用するオープンソースソフトウェア(OSS)の脆弱性管理や依存関係のチェックが後回しになっているケースが散見されます。
さらに、日本企業に特徴的なシステム開発の商習慣として、開発業務を外部のSIerや開発ベンダーに委託することが多い点が挙げられます。自社で直接コードを書いていなくても、委託先が構築したAI基盤の内部で脆弱なツールやライブラリが使用されていれば、結果として発注元である企業の責任や情報漏洩リスクに直結します。個人情報保護法や各種コンプライアンスの要請が高まる中、AIの利活用とサードパーティリスクの管理はセットで取り組むべき経営課題と言えます。
日本企業のAI活用への示唆
今回のインシデントから、日本企業が安全にAI活用を進めるために考慮すべき実務的な示唆を以下に整理します。
1. ソフトウェア・サプライチェーンの可視化と管理
自社開発か外部委託かを問わず、AIシステムに組み込まれているOSSやライブラリを把握することが重要です。SBOM(ソフトウェア部品表)の導入などを通じて、どのツールがどのような権限で動いているかを可視化し、不審なバージョンが混入しない仕組みを整える必要があります。
2. シークレット管理と最小権限の原則の徹底
APIキーやクラウドのアクセスキーをソースコードや環境変数に直接書き込む運用は避け、クラウドプロバイダーが提供するセキュアなシークレット管理サービスを活用すべきです。また、万が一認証情報が漏洩した場合の被害を最小限に抑えるため、各キーには業務に必要な最小限の権限のみを付与し、定期的にキーをローテーションする運用が求められます。
3. AI開発におけるセキュリティ・バイ・デザインの定着
LLMを活用したシステムは、従来のWebシステムとは異なる依存関係を持ちます。MLOps(機械学習システムの継続的デリバリーと運用)のパイプラインの中に、OSSの脆弱性スキャンプロセスを組み込み、開発の初期段階からセキュリティを考慮する文化を組織に根付かせることが、持続可能なAI活用の鍵となります。