何が起きたか
2026年6月12日、Sysdigの脅威研究チームは、公開された認証なしのOllamaモデルサーバーを「VAPT」と自称する多段階の攻撃型ハッキングフレームワークの推論バックエンドとして悪用する脅威アクターを観測しました。このアクターは、認証なしのモデル推論をサービスフィンガープリンティング(CPEマッピング)、脆弱性マッチング、Webリコンナイサンス、フィルター回避を伴ったブラインド時間ベースのSQLインジェクションペイロード合成、認証情報抽出、および権限昇格オーケストレーションを実行するパイプラインに組み込み、リモートコード実行が確認されるまで続行しました。このフレームワークはモデル呼び出しのたびに完全なステージ命令を送信し(Sysdigが完全なアーキテクチャをキャプチャすることを可能にし)、マシン解析可能なJSON出力を強制し、検出マーカーシーケンス(echo VAPTb3gin; id; echo VAPTfin)を使用して侵害を確認しました。Sysdigは2026年6月17日に研究を発表しました。観測期間中、プローブはプライベートラボ範囲をターゲットにしており、このアクターはフレームワークをチューニングしているように見えました。
なぜ重要か
約175,000のOllamaインスタンスが130以上の国で公開可能であり、認証がなく、攻撃者に無料のAIコンピュートを提供しています。このインシデントはLLMjackingのAPI窃盗からLLMjackingの自律型攻撃エージェントへの進化を示しています。盗まれたモデル容量は現在、自動走行する悪用チェーンの意思決定脳になっています。自ホストOllamaまたは同様の認証なしのモデルサーバー(llama.cpp、LM Studio が0.0.0.0でリッスン中)を実行している組織はすべて直接影響を受ける可能性があります。認証情報を盗まれることなく、そのコンピュートを奪取され、悪用される可能性があります。
攻撃経路
攻撃者がインターネット露出のOllamaインスタンスを発見します(ポート11434、デフォルトでは認証なし)。攻撃者は構造化されたプロンプトエンジニアリングシーケンスをモデルAPIに送信し、自律型ペネトレーションテストパイプライン(フィンガープリンティング→CVEマッチング→悪用合成→SQLインジェクション→認証情報抽出→RCE)の各ステージの推論エンジンとしてモデルを使用します。
影響を受けるシステム
Ollama(すべてのバージョン)のデフォルト設定で0.0.0.0:11434にバインドされており認証がない、または認証プロキシなしでインターネットに露出している自ホスト型オープンウェイトモデルサーバー
緩和策
Ollamaをlocalhostのみにバインドします(OLLAMA_HOST=127.0.0.1に設定)。ファイアウォール/セキュリティグループレベルでポート11434をブロックします。外部からアクセス可能なモデルエンドポイントの前に認証付きリバースプロキシ(nginx+基本認証またはmTLS)を配置します。IOC:VAPTb3gin/VAPTfinマーカー文字列、ソースIP 122.183.48.82/35/195を監視します。参照:https://www.sysdig.com/blog/llmjacking-evolved-attackers-are-using-stolen-ai-compute-to-build-offensive-agentic-tools