投稿者 global-ai-media 
サイバー攻撃者がインターネット上に公開されたLLM(大規模言語モデル)の探索とリスト化を活発化させています。日本国内でもデータの社外流出を避けるためにローカル環境や自社クラウドでのLLM運用(セルフホスティング)に関心が高まっていますが、設定不備による「無防備な公開」は重大なリスクを招きます。本記事では、最新の脅威動向と日本企業が取るべき防御策について解説します。
攻撃者は「無防備なLLM」の在庫リストを作っている
セキュリティ研究者からの報告によると、サイバー攻撃者は現在、インターネット上に露出している大規模言語モデル(LLM)や関連するAPIエンドポイントを積極的にスキャンし、その「インベントリ(在庫リスト)」を作成しているといいます。
なぜ攻撃者はLLMを探し回るのでしょうか。主な動機は2つあります。一つは「計算リソースの窃盗(Compute Theft)」です。LLMを稼働させるGPUインスタンスは極めて高価で強力な計算資源です。攻撃者は無防備なAPIを経由して他人のインフラにタダ乗りし、自身のモデルのトレーニングや暗号資産のマイニング、あるいはさらなる攻撃のための踏み台として利用しようとします。
もう一つは「情報の抽出」です。企業が独自にチューニングしたモデルや、RAG(検索拡張生成)システムの一部として稼働しているモデルには、社外秘の知識や個人情報が含まれている可能性があります。攻撃者はプロンプトインジェクションなどの手法を用いて、モデルから機密情報を引き出そうと試みます。
日本企業における「自社運用(セルフホスティング)」の死角
日本企業においては、OpenAIなどのパブリックなAPIサービスへのデータ送信を忌避し、情報漏洩対策として「自社環境(オンプレミスやプライベートクラウド)でオープンソースのLLMを動かしたい」というニーズが根強くあります。Llama 3やMistralなどの高性能なオープンモデルの登場により、この動きは加速しています。
しかし、ここに落とし穴があります。データサイエンティストやエンジニアが開発・検証のために立ち上げたLLM推論サーバー(vLLM、Ollama、TGIなどを使用)が、適切な認証をかけないまま、意図せずインターネットからアクセス可能な状態になっているケースが散見されます。「テスト用だから」「IPアドレスを知っている人しか来ないだろう」という油断は禁物です。攻撃者はボットを使って全IPをスキャンしており、デフォルトのポート番号(8000番や11434番など)が開いているサーバーは即座に特定されます。
いわゆる「シャドーIT」ならぬ「シャドーAI」のリスクです。情報システム部門が把握していない場所で、現場部門が安易に高スペックなGPUサーバーを立ち上げ、セキュリティ設定が不十分なまま運用してしまうことが、最大の脆弱性となり得ます。
RAGシステムにおけるリスクの増幅
特に注意が必要なのが、社内文書を検索して回答を生成するRAGシステムです。もし、このシステムのエンドポイントが外部に露出してしまうと、それは単に「AIが勝手に使われる」だけでなく、「社内ナレッジへの裏口が開いている」ことと同義になります。
攻撃者は露出したAPIに対し、巧妙なプロンプトを送信することで、RAGが参照している社内規定、顧客リスト、技術仕様書などの内容を、あたかも正規の対話のように引き出すことが可能です。LLM自体に悪意がなくても、アクセス制御がなければ、それは「親切な情報漏洩窓口」となってしまいます。
AIガバナンスとしてのインフラ管理
AI活用を進める上で、モデルの性能や生成物の精度(ハルシネーション対策など)に目が向きがちですが、足元のインフラセキュリティはおろそかにできません。MLOps(機械学習基盤の運用)の観点からも、以下の対策が必須となります。
- 認証・認可の徹底: APIキーやOAuthなどの認証機構を通さないアクセスを一切遮断する。
- ネットワークの閉域化: インターネットに直接公開せず、VPNやVPC内でのみアクセス可能にする。
- レート制限とモニタリング: 異常な頻度のアクセスや、想定外のトークン消費を検知する仕組みを導入する。
日本企業のAI活用への示唆
今回の「露出したLLMのリスト化」という脅威情報は、日本企業のAI戦略に以下の実務的な示唆を与えています。
- 「隠ぺいによるセキュリティ」の終焉:
「URLを公開していなければ見つからない」という考えは通用しません。自社のグローバルIPアドレス範囲に対してポートスキャンを実施し、意図せず公開されているAIサービスがないか棚卸しを行う必要があります。 - PoC(概念実証)環境の厳格管理:
実証実験段階ではセキュリティ設定が甘くなりがちです。特にクラウド上のGPUインスタンスを使用する場合、ファイアウォール設定(セキュリティグループ)が「0.0.0.0/0(全許可)」になっていないか、エンジニア任せにせず組織としてチェックする体制が必要です。 - オンプレ回帰とゼロトラストの両立:
データを社内に留めるためにオンプレミスや自社クラウドを選択する場合でも、境界防御だけに頼らず、APIレベルでの認証を必須とするゼロトラストの考え方を適用してください。
AIは強力なビジネスツールですが、同時に新たな攻撃対象でもあります。「使うこと」への熱量と同じくらい、「守ること」への投資とガバナンスが、持続可能なAI活用の鍵となります。