AIインフラと開発ツールを狙う集中攻撃:LeRobot・LiteLLM・GitHubの重大脆弱性と不可逆ランサムウェア
CVSS 9.3のHugging Face LeRobot RCE、認証不要のLiteLLM SQLi、GitHubのgit pushによるRCEなど、AIインフラと開発者ツールを標的とした重大脆弱性が多数発覚。VECT 2.0ランサムウェアの不可逆的破壊と合わせて、サプライチェーンとAIゲートウェイのリスク管理が急務に。
今日のハイライト
本日のセキュリティニュースは、AIインフラストラクチャと開発者ツールを標的とした攻撃の集中を示しています。Hugging FaceのLeRobotやLiteLLMといったAIゲートウェイの重大脆弱性に加え、GitHubやOpen VSXなどのソースコード管理・開発環境へのサプライチェーン攻撃が顕在化。また、VECT 2.0ランサムウェアのような「復旧不可能」な破壊型マルウェアの出現は、従来の「支払いで復旧」という前提を覆す新たな脅威モデルを提示しています。
1. Hugging Face LeRobotの認証不要RCE脆弱性(CVE-2026-25874)
概要
Hugging Faceが主導するオープンソースのAIロボティクス基盤「LeRobot」に、CVSS 9.3という最高レベルの深刻度を持つ認証不要のリモートコード実行(RCE)脆弱性が発見されました。GitHubで24,000以上のスターを獲得する人気プロジェクトであり、ロボット制御やシミュレーションに広く利用されています。現在、パッチ未提供の状態で攻撃が可能となっており、物理的なロボットデバイスへの影響も懸念されます。
考察
実務対策としては、LeRobotを利用している環境の即座の隔離が最優先です。 外部からアクセス可能なインスタンスが存在する場合、ファイアウォールでのIP制限または一時的なサービス停止を検討すべきです。特に、LeRobotは物理ロボットの制御に使用されるケースが増えており、RCEによる命令注入はデジタル領域にとどまらず、製造ラインや研究施設の物理的な安全にも影響を及ぼす可能性があります。
技術的洞察として、AI/ロボティクス分野の「成長優先」文化とセキュリティのギャップが顕在化しています。 従来のエンタープライズソフトウェアと異なり、AIモデルやロボティクスフレームワークは学術・研究コミュニティから急速に普及したため、セキュリティ監査のサイクルが追いついていない傾向があります。攻撃者は、このような「イノベーションの最先端」に潜む技術的負債を狙い、AIインフラをbotnetの一部や、さらには物理世界へのブリッジとして悪用しようと動機づけられます。24,000スターという普及率は、攻撃者にとって魅力的な標的表面積を意味します。
参照元
2. GitHubのgit pushによるRCE脆弱性(CVE-2026-3854)
概要
GitHub.comおよびGitHub Enterprise Server(GHES)に影響する重大なRCE脆弱性(CVE-2026-3854、CVSS 8.7)が発見されました。認証済みユーザーが単一のgit pushコマンドを送信するだけで、GitHubサーバー上で任意のコードを実行可能です。これは、世界中の開発者が依存するソースコード管理基盤の信頼性に直結する重大事案です。
考察
Enterprise Serverを運用する組織は、即座にパッチ適用の検討を開始すべきです。 クラウド版(GitHub.com)はGitHub社側で対応済みと思われますが、オンプレミス版を利用している企業は、インスタンスの一時停止やアクセス制限を検討する必要があります。特に、CI/CDパイプラインと連携している環境では、RCEを起点としたサプライチェーン攻撃(悪意あるコードの注入やビルドアーティファクトの改竄)のリスクが高まります。
攻撃手法の背景を考えると、Gitのプロトコル処理やフック機構の実装に潜む複雑性が悪用されたと推測されます。 Gitは分散型バージョン管理システムであり、サーバー側でのオブジェクト検証やフック実行は高度な処理を伴います。攻撃者は、この処理フローの中で入力検証の隙間を見つけ、git pushという「日常的な操作」を攻撃ベクターに変換しました。これは「信頼された開発者の正当な操作」が「サーバー完全制御」に繋がる典型的なケースであり、Zero Trustアーキテクチャにおいても「信頼されたコードの出所」という前提を再検討させる事案です。
参照元
3. LiteLLMの認証前SQLインジェクションと積極的悪用(CVE-2026-42208)
概要
人気のAI/LLMゲートウェイ「LiteLLM」に存在する認証前SQLインジェクション脆弱性(CVE-2026-42208)が、攻撃者に積極的に悪用されています。GitHubで45,000スターを持つこのミドルウェアは、複数のAIモデル(OpenAI、Anthropic、AWS Bedrock等)への統一APIアクセスを提供します。脆弱性はAPIキー検証処理に存在し、認証不要でデータベースへの読み書きが可能です。公開後36時間で標的型攻撃が確認されています。
考察
LiteLLMを利用している組織は、ただちにバージョン1.83.7以降へのアップデートを実施し、全てのAPIキー、マスターキー、プロバイダー認証情報のローテーションを行う必要があります。 Sysdigの調査によると、攻撃者はデータベース内の機密テーブル(APIキー、環境設定、プロバイダー認証情報)を直接狙い撃ちにしており、既に窃取された可能性が高いからです。インターネットに露出しているLiteLLMインスタンスは、原則として侵害済みと見なすべきです。
技術的には、AIインフラの「ゲートウェイ集中化」が生むリスクの典型例です。 LiteLLMは複数のAIサービスへの接続を一元管理するため、データベースには「AIインフラ全体の鍵」が集中しています。攻撃者がこのゲートウェイを制圧すれば、企業の全AI利用履歴、プロンプト内容、さらには接続先AIサービスの課金情報まで掌握可能です。36時間という短い猶予期間での悪用開始は、攻撃者がAIインフラの脆弱性を「優先標的」として監視していることを示唆し、AI導入企業にとって「AIセキュリティ」はもはや選択肢ではなく生存要件となっています。
参照元
4. Open VSX拡張機能を悪用したGlassWormサプライチェーン攻撃
概要
Open VSXマーケットプレイスに公開された70以上のVisual Studio Code拡張機能が、GlassWormマルウェアに関連する「スリーパー」拡張機能として特定されました。これらは人気拡張機能のクローンであり、Unicode variation selectorsを用いて悪意あるコードを視覚的に隠蔽しています。SolanaブロックチェーンをC&Cインフラとして利用し、GitHub/Git/NPMの認証情報や暗号資産を窃取します。少なくとも6つは既に「覚醒」しマルウェアを配信しています。
考察
開発チームは、Open VSXおよびVS Code Marketplaceからの拡張機能インストールを直ちに監査し、不審な公開者や最近更新されたクローン拡張機能を削除すべきです。 特に、8文字のランダム文字列を名前とするGitHubアカウントによる公開物は要注意です。企業は開発者IDEの使用ポリシーを見直し、マーケットプレイスへのアクセス制限や、社内レジストリの利用を検討する時期に来ています。
攻撃戦略の分析では、「視覚的な信頼の悪用」と「スリーパー戦術」の組み合わせが特に巧妙です。 攻撃者は正当な拡張機能のアイコン、名称、説明文を完全に複製し、開発者の「見た目での判断」を欺きます。そして、初回は無害なコードを公開し、後の更新でマルウェアを注入することで、静的スキャンや初期レビューを bypass します。SolanaブロックチェーンをC&Cに用いることで、従来のDNSブロックリストでは検出困難となっています。これは、開発者ツールそのものが「トロイの木馬」となって企業内部に侵入する、現代的サプライチェーン攻撃の最前線を示しています。
参照元
5. VECT 2.0ランサムウェアの不可逆的ファイル破壊
概要
マルチプラットフォーム対応(Windows/Linux/ESXi)のVECT 2.0ランサムウェアに、暗号化処理の致命的な欠陥が発見されました。ChaCha20暗号化におけるnonceの誤用により、131KB以上のファイルについては復号が数学的に不可能となっています。これは意図的なワイパー(破壊ツール)ではなく、実装の欠陥による「誤った破壊」ですが、被害者が身代金を支払ってもファイルは永遠に失われます。
考察
バックアップ戦略の根本的な見直しが必要です。 従来のランサムウェア対策は「支払いはせず、バックアップから復元」を基本としていましたが、VECT 2.0のような「復旧不可能」な脅威が増加すれば、暗号化前の検出と阻止が唯一の防御策となります。EDR(Endpoint Detection and Response)の導入と、バックアップの不変性(immutability)確保がより重要になります。特にESXi環境では、単一の侵害でインフラ全体が不可逆的に破壊されるリスクがあります。
ランサムウェアの「進化」における逆説的な現象です。 攻撃者にとって「支払い後も復旧しない」ことは、ビジネスモデルの自殺行為のように見えますが、これには二つの解釈が可能です。一つは、ランサムウェア開発者の技術的未熟さや、テスト不足の反映です。もう一つは、意図的な「破壊目的」の可能性です。国家関与者やハクティビストが、金銭目的ではなく単純な破壊を目的として、このような「欠陥あり」ランサムウェアを配布するケースが考えられます。いずれにせよ、被害企業は「支払いによる復旧」という選択肢を失い、防御のみが頼りとなる厳しい状況に直面しています。
参照元
まとめ
2026年4月29日のニュースは、「AIインフラの集中管理リスク」と「開発者ツールの信頼崩壊」、そして**「ランサムウェアの破壊的進化」**という三つの大きなトレンドを示しています。
LiteLLMやLeRobotの脆弱性は、AI導入が加速する中で「便利さのために集中させた認証情報」が、単一の脆弱性で全てを失う「単一障害点」となり得ることを示唆しています。一方、GitHubやOpen VSXを狙う攻撃は、開発者という「信頼された主体」が使用するツールそのものを侵食することで、従来の境界防御を完全に bypass する戦略を明示しています。
今後の注視ポイントとしては、AIゲートウェイやMLOpsパイプラインのセキュリティ監査、開発者ツールのサプライチェーン検証の自動化、そして**「復旧不可能」なランサムウェアに対する検出・防止技術の進化**が挙げられます。特に、AIインフラへの攻撃は「データ窃取」から「AIモデルの改竄」や「推論結果の操作」へとエスカレートする可能性があり、単なる情報漏洩以上の事業リスクを孕んでいます。防御側は、便利さとセキュリティのバランスを再考し、「信頼するが検証せよ」(Trust but Verify)の徹底が求められる時代に入ったと言えるでしょう。
参照元
- Critical Unpatched Flaw Leaves Hugging Face LeRobot Open to Unauthenticated RCE →
- Researchers Discover Critical GitHub CVE-2026-3854 RCE Flaw Exploitable via Single Git Push →
- Hackers are exploiting a critical LiteLLM pre-auth SQLi flaw →
- Dozens of Open VSX Extension Clones Linked to GlassWorm Malware →
- VECT 2.0 Ransomware Irreversibly Destroys Files Over 131KB on Windows, Linux, ESXi →