何が起きたか
2026年6月12日、SysdigのThreat Research Teamは、脅威アクターが公開されている認証なしのOllamaモデルサーバーを「VAPT」と自称する多段階型攻撃ハッキングフレームワークの推論バックエンドとして悪用しているのを観察しました。アクターは認証なしのモデル推論をパイプラインに組み込み、サービスフィンガープリンティング(CPEマッピング)、脆弱性マッチング、ウェブレコンナッサンス、フィルター回避を伴うブラインド時間ベースのSQLインジェクションペイロード合成、認証情報抽出、特権昇格オーケストレーションを実行し、リモートコード実行が確認されるまで続けました。このフレームワークは全段階の指示をすべてのモデル呼び出しで送信し(Sysdigが完全なアーキテクチャをキャプチャすることを可能にした)、機械解析可能なJSON出力を強制し、検出マーカーシーケンス(echo VAPTb3gin; id; echo VAPTfin)を使用して侵害を確認しました。Sysdigは2026年6月17日に研究を公開しました。観察ウィンドウ中、プローブはプライベートラボ範囲をターゲットにしていました。アクターはフレームワークをチューニング中であるように見えました。
なぜ重要か
約175,000のOllamaインスタンスが130以上の国で公開にアクセス可能であり、認証がなく、攻撃者に無料のAIコンピュートを提供しています。この事件はLLMjacking-as-API-theftからLLMjacking-as-autonomous-offensive-agentへの進化を示しています。盗まれたモデル容量は自動駆動型エクスプロイトチェーンの意思決定ブレインになっています。自ホスト型のOllamaまたは同様の認証なしモデルサーバー(llama.cpp、0.0.0.0でリッスンしているLM Studio)を実行している組織は直接被爆範囲にあります。認証情報が盗まれることなく、計算リソースを奪取され、武器化される可能性があります。
攻撃経路
攻撃者がインターネット露出Ollamaインスタンスをディスカバーします(ポート11434、デフォルトでは認証なし)。攻撃者は構造化プロンプトエンジニアリングシーケンスをモデルAPIに送信し、モデルを自律型ペネトレーションテストパイプラインの各段階の推論エンジンとして使用します(フィンガープリンティング→CVEマッチング→エクスプロイト合成→SQLインジェクション→認証情報抽出→RCE)。
影響を受けるシステム
デフォルト構成で0.0.0.0:11434にバインドされ認証なしのOllama(全バージョン)。また、認証プロキシなしでインターネットに露出している自ホスト型オープンウェイトモデルサーバー
緩和策
Ollamaをlocalhostのみにバインドします(OLLAMA_HOST=127.0.0.1を設定)。ファイアウォール/セキュリティグループレベルでポート11434をブロックします。認証されたリバースプロキシ(nginx + 基本認証またはmTLS)を外部アクセス可能なモデルエンドポイントの前に配置します。IOC(VAPTb3gin/VAPTfin マーカー文字列、送信元IP 122.183.48.82/35/195)を監視します。参照:https://www.sysdig.com/blog/llmjacking-evolved-attackers-are-using-stolen-ai-compute-to-build-offensive-agentic-tools