Ollamaに「Bleeding Llama」CVE-2026-7482、APIキー含むヒープ情報を未認証で窃取可能

「社内のローカルLLMにOllamaを使っているけど、外に向いていないか少し不安だ…」
「APIキーや環境変数が抜けるって、どこまで本当の話なの？」

チップス

ボス！うちの開発チーム、検証用にOllama立てて遊んでるみたいでしゅ。あれって…大丈夫でしゅか？

ボス

ふむ、放置はまずいな。OllamaのGGUFローダーにヒープ読み出しの脆弱性が見つかった。名前は「Bleeding Llama」、すでに約30万台が露出している、と聞いている。

その不安、社内検証で気軽に立てたインスタンスほど見落としがちです。
本記事では、CVE-2026-7482の中身と、いま情シスとして取るべき対応をまとめます。

読み終わるころには、自社のOllama運用がどこまで危険にさらされているかを確認する手順が手に入ります。

「Bleeding Llama」とは何が起きた事件か

クラウドセキュリティのCyeraが発見・公表した、Ollama固有の重大脆弱性です。

脆弱性の正体はGGUFローダーのヒープ読み出し

Bleeding LlamaはOllamaのGGUFモデルローダーにあるヒープ範囲外読み出しの脆弱性です。
攻撃者は、テンソルのオフセットとサイズをファイル本来の長さより大きく宣言した悪意あるGGUFファイルを用意します。
Ollamaがこのファイルを処理する過程で、確保したバッファを越えてヒープメモリを読み出してしまうのが本質的な問題です。

チップス

えっ、モデルファイルを読み込ませるだけで、こっちのメモリの中身が見えちゃうんでしゅか？

ボス

そうだ。さらに厄介なのは、Ollamaのpush機能を使えば、その壊れた状態のファイルを攻撃者のサーバーへ送り返せる点だ。盗んだヒープごと、外へ流れる仕組みになっている。

公開状況と影響範囲の規模感

SecurityWeekによれば、インターネットからアクセス可能なOllamaインスタンスは約30万台にのぼります。
必要となるのは「未認証の3回のAPIコール」で、特殊な認証情報も内部知識も不要です。
ローカルLLMの利用拡大に伴って、社内検証用や個人利用のインスタンスが知らぬ間に外向きになっているケースが目立ちます。

詳しい技術解説はSecurityWeekの記事を参照してください。

何が漏れる？攻撃の現実的なインパクト

ヒープ上に乗っている情報すべてが、理論的には漏えい対象です。

流出しうる情報のカテゴリ

Cyeraの説明では、攻撃成功時に窃取され得る情報は次のとおりです。

日本企業のローカルLLM運用で踏みやすい落とし穴

「ローカル＝安全」という思い込みが、今回もっとも危ない発想です。
クラウドへ送らない安心感から、認証も分離も省略してしまう運用が多く見られます。
実際にやってしまいがちな構成は次のとおりです。

チップス

うちの開発チームの構成、ぜんぶ当てはまってる気がするでしゅ…

ボス

「ローカルだから安全」は、ネットワーク的には何の保証にもならん。AIの利便性に飛びつく前に、まずは扉を閉めろ、だな。

まとめ：いまやるべき3つの対応

修正版はOllama 0.17.1で提供済みです。
まずは速やかに更新し、続けてリスナーをループバックや内部限定に絞り込みます。
外部公開が必要なケースでは、認証付きリバースプロキシとネットワーク分離を組み合わせるのが現実的な落としどころです。
今回の事案は、AI関連ソフトの設定ミスがそのまま社外露出につながる新たな常套手段を、改めて突きつけています。

チップス

「アップデート→閉じる→守る」の順でやってみるでしゅ！

ボス

その通りだ。AIだろうが、原則は変わらん。最小権限と最小公開、これに尽きる。