Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。
本文の内容は、2026年2月24日に Crystal Morin が投稿したブログ(https://www.sysdig.com/blog/llmjacking-from-emerging-threat-to-black-market-reality)を元に日本語に翻訳・再構成した内容となっております。
2024年5月の登場以来、LLMjackingは新たなセキュリティ問題から産業化されたサイバー犯罪市場へと進化してきました。この新しい種類のクラウドに焦点を当てたAI攻撃が報告されたとき、リサーチャーたちは、やる気のある攻撃者がこの手法を商業化するだろうと予測していました。現在、さらなる調査によってこれらの予測が裏付けられています。ある地下市場が、現在、不正な AI アクセスを大規模に積極的に収益化しています。LLMjackingは新しい暗号通貨マイニングです。
簡単にまとめると、LLMjackingとは何ですか?
LLM ジャッキング は、セキュリティ侵害された認証情報、API、または公開されたエンドポイントを介して、クラウドでホストされている LLM リソースの不正使用と定義されています。この用語は元々、プロキシジャッキングやクリプトジャッキングなどの他のリソースジャッキング攻撃と同様の目的で使われたものです。
従来の API 悪用とは異なり、LLMjacker は単にデータを盗むだけでなく、コンピュートサイクル、推論コスト、そしてアクセス権も盗み出し、その結果、被害者には膨れ上がったクラウド請求額や、場合によっては露出したモデル機能が残されます。
初期のLLMジャッキング攻撃からの証拠
2024年半ばに最初に記録された LLMjacking 攻撃が公開された際、リサーチャーたちは明確なパターンを特定しました。脅威アクターはセキュリティ侵害された環境からクラウド認証情報を流出させ、どの LLM サービスが有効化されているかを確認し、ローカルにホストされたモデルを呼び出そうと試みていました。
わずか数か月後には、LLMjacking が単発のキャンペーンではなく、拡大する市場であることが明らかになりました。攻撃者は急速に適応しているだけでなく、LLMjacking を収益源として扱っていました。一部の攻撃者は、攻撃に独自の手法を取り入れていました。
- 侵害された複数のアカウントへのアクセスを一元化しつつ、基盤となる侵害済み認証情報を隠すためにリバースプロキシを活用
- リリースから数日以内に DeepSeek-V3 など、標的とするモデルのリストを拡大
- 被害環境内で利用可能なモデルを悪用する段階から、それまで存在していなかったモデルを有効化しようと試みる段階へ移行
- AI で最適化されたクラウド侵入手法を用いて数分で管理者アクセスを取得し、その後 LLMjacking に移行
LLMジャッキングが商用化
2026年初頭、独立した調査に基づき、2024年初頭に理論上の予測にすぎなかったものが厳然たる現実となったことが明らかになりました。LLMjacking は商業化されたのです。
「Operation Bizarre Bazaar」と名付けられたこの新たな LLMjacking キャンペーンは、明確なマーケットプレイスでの収益化と帰属が確認された、初の LLMjacking エコシステムを示すものです。リサーチャーたちはさらに次の点を詳述しました。
- LLM ジャック攻撃 モデルコンテキストプロトコル (MCP) サーバーエンドポイントを対象としています。
- ShodanとCensysを使用した自動スキャンにより、認証されていないAPI、デフォルトポート、公開されている開発サーバーなどの悪用可能なエンドポイントを特定します。
- 被害者環境のアクセス品質と LLMjacking の機能または制限の検証
- PayPalと暗号通貨の支払いと引き換えに、テレグラムとDiscordのアンダーグラウンドマーケットプレイスsilver.incを介して、LLMジャックされたコンピューティングサイクルとAPIアクセスを再販します。
AI システムのリスクは増大している
不正なクラウドコストは依然としてLLMjackingの大きな影響ですが、運用のセキュリティリスクも拡大しています。MCP サーバーは AI システムをファイルシステムやデータベースなどの内部インフラストラクチャーと橋渡しします。MCP サーバーが侵害されると、LLM 以外の重要な資産への水平移動や機密データの悪用につながる可能性があります。LLMjacking 攻撃を受けて認証情報や API が盗まれて転売された場合、購入者は被害者の環境に対して別の計画を立てる可能性があり、その結果 数え切れないほどの侵害が絡み合っています。
セキュリティリーダーにとって LLMjacking が意味するもの
LLMjackingの進化は、攻撃者がどのように新しいリソースを産業化するのかを見てきた人なら誰にとっても驚くべきことではありません。クラウドで見てきたように、クリプトマイニング、認証情報の悪用、そしてAIは次の基盤に過ぎません。攻撃者にとって、LLM、AI インテグレーション、および関連する API は、認証情報、アクセス、データの宝庫であるため、それだけの価値がある一流の資産のように扱われています。これは、セキュリティリーダーとそのチームにとっていくつかの影響があります。
- 認証情報は攻撃者の新しい通貨です。 認証情報の衛生管理は、まさにクラウドにおける基本的な慣行です。認証情報、API キー、トークンの有効期間を短くし、IAM の対象範囲を狭め、異常なパターンを継続的に監視して、侵害のリスクを軽減する必要があります。
- セキュリティ侵害を想定するという考え方を維持しましょう。 インターネットに接続されている場合は、多くの場合数時間以内にスキャンとテストが行われます。API、MCP サーバー、チャットボットバックエンド、モデルエンドポイントは、「実験的」または「内部ツール」とは考えられません。意図的に公開された資産はすべて、インベントリを作成し、認証し、レート制限を行い、監視する必要があります。
- コスト異常は財務上の問題だけではありません。 LLM の使用量、推論コール、クラウド支出の予想外の急増は、セキュリティ部門と財務部門の両方が検討すべき指標です。
- インテグレーションにより影響範囲が広がります: MCPサーバーとAIの統合により、攻撃者は多くの可能性を秘めています。それらを特権的なミドルウェアのように扱い、認証と承認を強制し、偵察技術を監視して対応することで、手遅れになる前に攻撃を阻止できます。
LLMjackingは、クラウドセキュリティ、IDセキュリティ、およびAIリスクと交差します。孤立したインシデントから商業化された市場への移行はよく知られていますが、予想よりも早く起こりました。商業化によって攻撃者の侵入障壁が下がるため、この変化の加速は重要です。AIインフラストラクチャの侵害は、今や購入するだけで済むため、技術的なスキルは必要ありません。