チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「LLMの推論サーバーから内部ネットワークがスキャンされるって、どういうこと?」
「公開13時間で悪用って早すぎない?なぜそんな速さで攻撃できるの?」
チップスボス、画像読み込みの脆弱性で、AWSの認証情報まで取られたって本当でしゅか?
ボス本当だ。SSRFという古典的な脆弱性が、LLMサーバーに居座っていたわけだな。
そして攻撃者は公開からわずか12時間半でハニーポットに襲いかかった。
2026年4月23日、LLMデプロイメントツールキットのLMDeployにSSRF脆弱性CVE-2026-33626(CVSS 7.5)が公開されました。
Sysdigによれば、公表からわずか12時間31分後にハニーポットへの実攻撃が観測されています。
本記事では脆弱性の仕組み、攻撃者が一連のセッションで何を行ったか、そして自社のAI推論基盤を守るための対策を整理します。
AI推論サーバーは「モデル特化のブラックボックス」と扱われがちですが、Webアプリと同じ脆弱性が潜みます。
本稿で攻撃者の動きを追えば、自社のAI環境の盲点が見えてくるはずです。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
Sysdigが運用するハニーポットは、攻撃者の足跡を分単位で記録していました。
そこから見えるのはAI基盤を狙う攻撃の現在地です。
4月23日のCVE公開後、12時間31分でハニーポットへの最初の攻撃が記録されました。
攻撃者は約8分間のセッションで、画像ローダーを汎用HTTP-SSRFプリミティブとして悪用し、内部ネットワークを総当たりしています。
主な探索対象は以下のとおりです。
引用元: Sysdig Blog
チップスたった8分でクラウド認証情報まで取れちゃうんでしゅか…!
ボスSSRFはIMDSと相性が悪い。
クラウド側のメタデータエンドポイントは内部IPでしか叩けない設計だが、SSRFはまさにそれを通すからな。
原因はシンプルですが、AI特有の機能との組み合わせで深刻化したケースです。
脆弱性はlmdeploy/vl/utils.pyのload_image()関数に存在しました。
この関数は画像URLを受け取って取得する処理を行いますが、内部IPアドレスやプライベートレンジへのアクセスを検証していませんでした。
影響範囲は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 影響バージョン | 0.12.0より前のvision-language対応版すべて |
| 修正バージョン | 0.12.3 |
| CVSS | 7.5(High) |
| 悪用条件 | vision-languageエンドポイントが外部から到達可能 |
「AI推論サーバーはGPUインスタンスだから特別」という思い込みは捨てる必要があります。
SSRFはWebアプリ全般に共通する課題で、対策パターンは確立されています。
優先順位の高い手当ては以下のとおりです。
チップスうちのLLM基盤、IMDSv1のままでしゅよ…帰ったら確認しないと!
ボスその判断は正しい。
v1のままなら、SSRFがあった瞬間にAWSの認証情報を盗まれる構造だ。
CVE-2026-33626は「12時間半で悪用される」という事実そのものが、AI関連OSSのリスクを物語っています。
脆弱性公開の瞬間から防御側の時間は急激に減っており、即時アップデートの体制と、被害を限定するネットワーク分離が同等に重要です。
AI推論基盤を運用するチームは、Webアプリと同じ「SSRF・IMDS・SG」の三点セットを今夜中に見直してください。
「AIだから新しい守り方が必要」ではなく、「AIにも従来の基本対策を漏れなく」が正解です。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
