あなたのAIサーバー、今この瞬間も丸見えです
「AIを使えば業務が効率化される」
そう信じて、急いでOllamaやn8nをデプロイした会社は多いだろう。
でも、ちょっと待ってほしい。
セキュリティ企業Intruderが今月発表した調査結果が、業界に衝撃を与えている。200万台以上のホストをスキャンし、100万個の公開AIサービスを分析した結果は——
「これまで調査したどのソフトウェアよりも、脆弱で、露出していて、設定ミスだらけだった」
これは煽りではない。実データに基づく、冷酷な現実だ。
結論から言うと...
- Ollama APIの31%が認証なしで公開されている
- そのうち518台が有料のOpenAI/Google/Anthropicモデルをラップして無認証公開
- 政府機関・金融機関のn8n/Flowiseが90台以上、ワークフローごと丸見え
- ユーザーの会話履歴、APIキー、社内ロジックが全部見える状態
そして、この「穴」を突いた史上初の事件がすでに起きている。
史上初:AIが作ったゼロデイで大規模攻撃未遂
Googleの脅威インテリジェンスチーム(GTIG)が5月11日に発表した内容がさらに衝撃的だ。
「AIモデルがゼロデイ脆弱性を発見し、それを使った大規模攻撃を計画していたハッカー集団を阻止した」
具体的に何が起きたのか:
- ハッカー集団がAI(LLM)を使って、2要素認証をバイパスするゼロデイを発見
- Pythonでexploitコードを自動生成
- 大規模侵入オペレーションを計画
- Googleが事前に察知し、ベンダーと協力してパッチ適用
GTIGは「高い確信度でAIモデルがexploitスクリプトを生成した」と断定している。なぜわかったのか?
コードに「教育的なdocstringが大量に含まれていた」
「幻覚したCVSSスコア」まで書いてあった
LLMが生成したコード特有の「お行儀の良さ」が、逆に証拠になったわけだ。
具体的に何が露出していたのか
Ollama API:5,200台以上をスキャン
Ollamaはローカルで動くLLMサーバーとして人気だ。だが調査結果は恐ろしい:
| 状態 | 台数 | 割合 |
|---|---|---|
| 認証なしで応答 | 約1,600台 | 31% |
| 有料モデルをラップ | 518台 | - |
518台のサーバーで、誰でもGPT-4やClaudeを無料で使える状態だった。
企業が払っているAPI料金は? 誰かの財布から消えていく。
エージェント管理プラットフォーム:n8n・Flowise
ノーコードで自動化ワークフローを作れるn8nとFlowise。便利だが:
- 政府・マーケティング・金融セクターの90台以上が認証なし公開
- あるFlowiseインスタンスでは、LLMチャットボットサービスの全ビジネスロジックが丸見え
- 第三者システムへの認証情報も含まれていた
「社内ツールだから」と油断して、インターネットに公開してしまった例が多い。
チャットボット:会話履歴が全公開
OpenUIベースのチャットボットで、ユーザーの全会話履歴がアクセス可能だった例も報告されている。
顧客が入力した個人情報、社内の機密情報、すべてが第三者から見える状態だった。
なぜこんなことになったのか
Intruderの分析によると、根本原因は「AIツール特有のセキュリティ軽視」だ:
❌ 認証がデフォルトで無効
❌ setupファイルにハードコードされた認証情報
❌ root権限でのアプリ実行
❌ コード実行機能のサンドボックス不足
❌ 脆弱なDocker設定
従来のソフトウェア業界が何十年もかけて学んできた教訓が、AIブームの速度に追いついていない。
今すぐチェックすべき5つのポイント
あなたの組織でAIサービスを運用しているなら、今すぐ確認してほしい。
1. Ollamaの認証設定
# 環境変数でAPIキー認証を有効化
OLLAMA_API_KEY=your-secret-key
デフォルトでは認証がない。必ず設定を。
2. n8n/Flowiseのアクセス制御
# n8nの認証設定
N8N_BASIC_AUTH_ACTIVE=true
N8N_BASIC_AUTH_USER=admin
N8N_BASIC_AUTH_PASSWORD=strong-password
3. ネットワーク設定の確認
# 公開ポートの確認
netstat -tlnp | grep -E '11434|5678|3000'
ローカルホストにのみバインドされているか確認。
4. Docker設定の見直し
# docker-compose.yml
services:
ollama:
ports:
- "127.0.0.1:11434:11434" # localhostのみ
0.0.0.0でバインドしていないか確認。
5. VPNまたはプライベートネットワークの使用
社内ツールは必ずVPN経由またはプライベートサブネットで運用する。
AIセキュリティの「新常識」
今回の調査で明らかになったのは、AI時代のセキュリティは従来と根本的に違うということだ。
従来のソフトウェア
- 認証はデフォルトで有効
- ドキュメントにセキュリティ設定が明記
- 脆弱性はCVEで追跡可能
AIツール
- 認証はデフォルトで無効(動かすことが優先)
- セキュリティ設定のドキュメントが薄い
- 脆弱性の定義すら曖昧(プロンプトインジェクションとは?)
そして、攻撃者もAIを使う時代になった。
ゼロデイを発見し、exploitを書き、大規模攻撃を計画する——すべてがAIによって加速される。
Googleの John Hultquist(GTIG チーフアナリスト)はこう言った:
「AIによる脆弱性レースは『これから始まる』という誤解がある。現実は、もう始まっている。」
まとめ:3つのアクションアイテム
-
今すぐ自社のAIサービスをスキャン
- 公開ポート、認証設定、ネットワーク構成を確認
-
デフォルト設定を信用しない
- AIツールは「動くこと」が優先。セキュリティは自分で設定
-
AI攻撃を前提に防御設計
- 24時間以内にexploitが出る時代。パッチ適用を最優先に
この記事が参考になったら、いいねとストックをお願いします!
質問:あなたの組織では、AIサービスのセキュリティ監査をやっていますか?コメントで教えてください。
参考リンク
We Scanned 1 Million Exposed AI Services. Here's How Bad the Security Actually Is
Hackers Used AI to Develop First Known Zero-Day 2FA Bypass for Mass Exploitation
Google says it likely thwarted effort by hacker group to use AI for 'mass exploitation event'
Adversaries Leverage AI for Vulnerability Exploitation | Google Cloud Blog