チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「LLMの推論サーバーから内部ネットワークがスキャンされるって、どういうこと?」
「公開13時間で悪用って早すぎない?なぜそんな速さで攻撃できるの?」
チップスボス、画像読み込みの脆弱性で、AWSの認証情報まで取られたって本当でしゅか?
ボス本当だ。SSRFという古典的な脆弱性が、LLMサーバーに居座っていたわけだな。
そして攻撃者は公開からわずか12時間半でハニーポットに襲いかかった。
2026年4月23日、LLMデプロイメントツールキットのLMDeployにSSRF脆弱性CVE-2026-33626(CVSS 7.5)が公開されました。
Sysdigによれば、公表からわずか12時間31分後にハニーポットへの実攻撃が観測されています。
本記事では脆弱性の仕組み、攻撃者が一連のセッションで何を行ったか、そして自社のAI推論基盤を守るための対策を整理します。
AI推論サーバーは「モデル特化のブラックボックス」と扱われがちですが、Webアプリと同じ脆弱性が潜みます。
本稿で攻撃者の動きを追えば、自社のAI環境の盲点が見えてくるはずです。
オススメ案件
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
Sysdigが運用するハニーポットは、攻撃者の足跡を分単位で記録していました。
そこから見えるのはAI基盤を狙う攻撃の現在地です。
4月23日のCVE公開後、12時間31分でハニーポットへの最初の攻撃が記録されました。
攻撃者は約8分間のセッションで、画像ローダーを汎用HTTP-SSRFプリミティブとして悪用し、内部ネットワークを総当たりしています。
主な探索対象は以下のとおりです。
引用元: Sysdig Blog
チップスたった8分でクラウド認証情報まで取れちゃうんでしゅか…!
ボスSSRFはIMDSと相性が悪い。
クラウド側のメタデータエンドポイントは内部IPでしか叩けない設計だが、SSRFはまさにそれを通すからな。
原因はシンプルですが、AI特有の機能との組み合わせで深刻化したケースです。
脆弱性はlmdeploy/vl/utils.pyのload_image()関数に存在しました。
この関数は画像URLを受け取って取得する処理を行いますが、内部IPアドレスやプライベートレンジへのアクセスを検証していませんでした。
影響範囲は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 影響バージョン | 0.12.0より前のvision-language対応版すべて |
| 修正バージョン | 0.12.3 |
| CVSS | 7.5(High) |
| 悪用条件 | vision-languageエンドポイントが外部から到達可能 |
「AI推論サーバーはGPUインスタンスだから特別」という思い込みは捨てる必要があります。
SSRFはWebアプリ全般に共通する課題で、対策パターンは確立されています。
優先順位の高い手当ては以下のとおりです。
チップスうちのLLM基盤、IMDSv1のままでしゅよ…帰ったら確認しないと!
ボスその判断は正しい。
v1のままなら、SSRFがあった瞬間にAWSの認証情報を盗まれる構造だ。
CVE-2026-33626は「12時間半で悪用される」という事実そのものが、AI関連OSSのリスクを物語っています。
脆弱性公開の瞬間から防御側の時間は急激に減っており、即時アップデートの体制と、被害を限定するネットワーク分離が同等に重要です。
AI推論基盤を運用するチームは、Webアプリと同じ「SSRF・IMDS・SG」の三点セットを今夜中に見直してください。
「AIだから新しい守り方が必要」ではなく、「AIにも従来の基本対策を漏れなく」が正解です。
オススメ案件
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
