2026-05-11

Ollama大規模メモリ漏洩とAIプラットフォーム悪用の二重脅威

30万台以上のサーバーに影響するOllamaの認証不要なプロセスメモリ漏洩脆弱性と、Google広告・Claude.aiを悪用した進行中のMacマルウェアキャンペーンを分析。ドイツ当局による暗号市場Crimenetworkの再起動摘発も含め、生成AIインフラのセキュリティリスクと実務対策を解説。

OllamaLLMセキュリティマルバタイジングMacマルウェアダークウェブ

今日のハイライト

本日のセキュリティニュースは、生成AIインフラの「防御側」と「悪用側」という二重の側面を浮き彫りにしています。30万台以上のサーバーに影響するOllamaの重大脆弱性は、自己完結型LLMデプロイメントのリスクを露呈させ、一方でClaude.aiの正当な機能を悪用したマルバタイジングキャンペーンは、AIツールへの信頼を突いた新たなソーシャルエンジニアリング手法を示しています。さらに、暗号市場の「ハイドラ効果」（摘発後の再起動）がいかに迅速であるかを示す執法活動の報告も含まれ、サイバー犯罪インフラの弾力性を再認識させます。

1. Ollama Out-of-Bounds Read脆弱性によるリモートメモリ漏洩

概要

Ollama（ローカル環境で大規模言語モデルを実行するためのオープンソースツール）に、認証不要のリモート攻撃者からプロセスメモリ全体を漏洩させる重大な脆弱性が発見されました。このOut-of-Bounds Read脆弱性は、グローバルに30万台以上の暴露されたサーバーに影響を与える可能性があり、AIモデルの重み、プロンプト履歴、環境変数、さらには機密データが含まれるメモリ空間の完全な漏洩が危惧されます。

考察

実務対策としての緊急対応

即座のネットワーク分離: インターネットに直接暴露しているOllamaインスタンス（ポート11434）を即座に確認し、VPCやプライベートネットワークに移行してください。必要最小限のIPアドレスからのアクセスに制限します。
認証レイヤーの追加: Ollama自体に認証機能がないため、リバースプロキシ（Nginx/Apache）またはAPIゲートウェイ（Kong/AWS API Gateway）を前段に配置し、JWTまたはAPIキー認証を強制します。Basic認証のみでは不十分です。
メモリ保護の検討: コンテナ環境では、seccompプロファイルやAppArmor/SELinuxによるメモリ空間のアクセス制限を検討します。ホストマシン上での実行は避け、専用の分離環境（gVisorやKata Containers）での運用を推奨します。

技術的背景と攻撃者の動機 この脆弱性は、LLM推論エンジンのメモリ管理不備に起因する典型的なメモリ安全性の欠如です。攻撃者にとって、Ollamaサーバーは「AIの蜜蝋」となり得ます。プロセスメモリには、ファインチューニングされた独自モデルの重み、機密性の高いプロンプト（個人情報や企業秘密を含む）、そして環境変数（APIキーやデータベース接続文字列）が含まれる可能性があります。特に、RAG（検索拡張生成）システムと連携している場合、ベクトルデータベースの接続情報まで漏洩するリスクがあります。

業界トレンドとの関連性 生成AIの「ローカルデプロイメントブーム」は、クラウドAPI利用時のプライバシー懸念から急速に普及しましたが、セキュリティの後追いが顕著です。Ollamaのようなツールは「ローカルだから安全」という誤解を生みやすく、結果としてインターネットに無防備に暴露されるケースが増加しています。Shadow ITとして部門単位で導入されたOllamaインスタンスの棚卸しと、DevSecOpsパイプラインでのAIモデルデプロイメントのセキュリティ基準策定が急務です。

参照元

Ollama Out-of-Bounds Read Vulnerability Allows Remote Process Memory Leak

2. Google広告とClaude.aiの悪用によるMacマルウェア拡散

概要

攻撃者は現在進行中のマルバタイジング（malvertising）キャンペーンを展開し、Google広告とClaude.aiの「共有チャット」機能を悪用してMacユーザーを標的にしています。「Claude mac download」などの検索語で表示されるスポンサー広告を経由し、Claude.aiのドメインを装った共有チャットに誘導。そこで「Apple Support」を名乗る偽のインストールガイドが表示され、ターミナルにコマンドを貼り付けるよう指示することで、マルウェアをダウンロード・実行させます。ペイロードはポリモーフィック（リクエストごとに変化）であり、CIS地域（ロシア・旧ソ連諸国）のキーボードレイアウトを検出すると自己消滅する地域フィルタリング機能も備えています。

考察

実務対策としてのエンドポイント防御

ターミナル実行の監視: Jamf ProやMicrosoft Defender for EndpointなどのMDM/EDRツールを用いて、curl | sh パターンや不明なシェルスクリプトの実行を検知・ブロックします。特に、ユーザーが手動でターミナルを開いてコマンドを貼り付けた場合の検知は困難ですが、XProtectとMRT（Malware Removal Tool）の定義ファイルが最新であることを確認します。
DNSレイヤーでのブロック: 確認されたC2ドメイン（customroofingcontractors.com、bernasibutuwqu2.comなど）を、DNSフィルタリングサービス（Cloudflare Gateway、Cisco Umbrella）でブロックします。ただし、ポリモーフィック配信の特性上、ドメイン自体の信頼性評価が重要です。
ユーザー教育の具体化: 「Apple Supportがターミナルコマンドを指示することは絶対にない」という具体的なガイドラインを策定し、Claude.aiなどのAIツールは公式サイト（claude.ai）のみからアクセスすることを周知します。共有チャットのURLが claude.ai/share/ で始まっていても、内容が信頼できるとは限らないことを強調します。

攻撃手法の技術的背景と高度化 この攻撃は「信頼の連鎖」の悪用という観点で極めて巧妙です。第一に、Google Adsの「claude.ai」表示による正規サイトへの信頼の転嫁。第二に、Claude.aiという正規プラットフォームの「共有チャット」機能を悪用することによる信頼の拡大。第三に、「Apple Support」という権威を冒用したソーシャルエンジニアリング。さらに、技術的にはメモリ上でのみ実行されるシェルスクリプト（ディスクに痕跡を残さない）と、地理的フィルタリング（CIS地域回避）により、セキュリティ研究者や自動分析システムからの検出を回避しています。被害者のIP、ホスト名、OSバージョン、キーボードロケールを収集する点から、標的型攻撃（APT）の前段階としての利用や、ランサムウェア展開前の侦察（reconnaissance）の可能性が示唆されます。

業界トレンドとの関連性 生成AIツールへの依存度が高まる中、ユーザーは「AIが提案することは安全」という認知バイアスを持ちがちです。この攻撃は、その心理的脆弱性を突いた「AIネイティブ」な攻撃手法の先駆けと言えるでしょう。今後、ChatGPTのカスタムGPTや、GitHub Copilotのワークスペースなど、他のAIプラットフォームも同様に悪用されるリスクが高まります。企業は、AIツールの利用ガイドラインに「共有リンクの検証」や「コマンドライン操作の禁止」などの項目を追加する必要があります。

参照元

Hackers abuse Google ads, Claude.ai chats to push Mac malware

3. Crimenetworkマーケットプレイスの再起動と再摘発

概要

ドイツ連邦刑事警察局（BKA）は、2024年12月に摘発されたドイツ最大の暗号市場「Crimenetwork」の再起動版を閉鎖し、管理者をスペイン・マヨルカで逮捕しました。再起動版は旧サイト閉鎖から数日以内に新しい技術基盤で構築され、22,000ユーザーと100以上のベンダーを集め、3.6百万ユーロ（約4.2百万ドル）の収益を上げていました。前回の摘発で逮捕された元管理者は今年3月に7年10か月の実刑判決を受けていますが、今回の逮捕は別の運営者に対するものです。

考察

実務対策としての脅威インテリジェンス活用

流出データの監視: Crimenenetworkのユーザー・取引データが警察により押収されたことは、関連する脅威アクターの特定と、今後の脅威インテリジェンスの強化に繋がります。企業は、自社ドメインや従業員の個人メールアドレスが過去の流出データベースに含まれていないか、Have I Been Pwnedや商用TIサービスで継続的に監視する必要があります。
サプライチェーンリスクの評価: この市場で取引されていた「不正サービス」（マルウェア配布、初期アクセスブローカー行為など）が、自社のサプライチェーンやパートナー企業に影響を及ぼす可能性を評価します。特に、流出した企業データの転売が行われていた場合、二次被害のリスクがあります。

攻撃者インフラの弾力性と「ハイドラ効果」 Crimenetworkのケースは、暗号市場の「ハイドラ効果」（首を切ってもすぐに新しい首が生える）を象徴しています。2024年12月の摘発後、わずか数日で新しいインフラが構築され、22,000ユーザーが即座に移行したことは、このエコシステムの持続性と収益性の高さを示しています。しかし、今回の迅速な再摘発（5ヶ月後）と、国際協力（ドイツ・スペイン）による実行者の特定は、執法機関の能力向上を示唆しています。収益の大部分（360万ユーロ中約19万ユーロのみ押収）が暗号資産として保持されている可能性が高い点から、資金洗浄（マネーロンダリング）の追跡が今後の課題となります。

業界トレンドとの関連性 ダークウェブ市場の分散化と専門化が進んでいます。Crimenetworkのような「総合スーパー」型の市場は減少傾向にあり、代わりにTelegramやMatrixを利用した小規模で閉鎖的なコミュニティ、あるいは専門の「初期アクセスブローカー」（IAB）市場に移行しています。しかし、ドイツ語圏のような特定地域に根付いた市場は依然として存在し、地域特有の脅威（ドイツ語でのソーシャルエンジニアリングなど）を維持しています。企業は、英語圏のみならず、事業展開地域の言語圏における脅威インテリジェンス収集も重要視する必要があります。

参照元

Police shut down reboot of Crimenetwork marketplace, arrest admin

まとめ

本日のニュースは、生成AI技術が「攻撃対象」（Ollama脆弱性）と「攻撃手段」（Claude.ai悪用）の両方として機能し始めたことを示唆しています。AIインフラの急速なデプロイメントは、従来のITシステムよりもセキュリティの後追いが顕著であり、30万台もの暴露サーバーはその証左です。

今後の注視ポイントとしては、第一にOllamaに対する実際の攻撃（インシデント）の発生と、AIモデルの「モデル盗難」（Model Theft）や、プロンプトインジェクションを組み合わせた高度な攻撃の出現です。第二に、AIプラットフォームを悪用したマルウェア拡散が、MacだけでなくWindowsやLinux環境にも拡大する可能性があります。第三に、Crimenetworkのような暗号市場の「分散化」が進み、より検出困難な小規模コミュニティでの取引が増加する趨勢です。

防御側は、AIツール導入の「スピード」と「セキュリティ」のトレードオフを再評価し、Shadow ITとしてのAIデプロイメントの棚卸しと、エンドユーザーに対する「AIへの過度な信頼」に対する教育を急ぐ必要があります。