2026年、AIの民主化は一つの特異点を迎えた。MetaのLlama、AlibabaのQwen、GoogleのGemmaといった強力なオープンウェイトモデルが一般化し、誰もが手元の環境で高性能なLLMを動かせる時代となった。その立役者となったのが、軽量かつ直感的な操作が可能なオープンソースフレームワーク「Ollama」だ。しかし、この利便性の裏側に、サイバーセキュリティの歴史に残る規模の「巨大な空白地帯」が生まれていたことが明らかになった。
SentinelOneのSentinelLABSとインターネット調査企業Censysが共同で実施した約293日間にわたる広範なスキャン調査によれば、世界130カ国で約17万5,000台を超えるOllamaホストが、インターネット上に無防備な状態で晒されているという。研究者が「Silent Brothers(沈黙の兄弟)」と名付けたこのネットワークは、認証なしで外部から操作可能なAI計算資源の巨大な「貯蔵庫」と化しており、リモートコード実行(RCE)や社内データの窃取、さらには外部システムへの踏み台として悪用されるリスクを孕んでいる。
01.0.0.0.0という「魔のバインド設定」が招いた崩壊02.AIモノカルチャー:脆さとポータビリティの表裏一体03.「ツール呼び出し」と「ビジョン」が変える脅威の質04.ガバナンスの逆転:責任の拡散と依存の集中05.経済的搾取と「LLMjacking」の台頭06.AIを「単なるソフトウェア」として扱わない0.0.0.0という「魔のバインド設定」が招いた崩壊
Ollamaそのものは、セキュリティを軽視した設計ではない。デフォルト設定では、ローカルホスト(127.0.0.1:11434)にのみバインドされており、そのマシン自体からしかアクセスできない仕組みになっている。問題は、利便性を追求した管理者による「わずかな変更」にある。
複数の拠点やチームからLLMを利用したい、あるいは外部ツールと連携させたいという動機から、管理者がリスニングアドレスを「0.0.0.0」や公開インターフェースに変更するケースが後を絶たない。この一行の設定変更によって、本来はクローズドな環境で動作すべきAIモデルが、認証という防壁を一切持たないまま、全世界の攻撃者に対して「プロンプト入力待ち」の状態になってしまうのだ。
SentinelLABSの分析では、こうした露出したホストの挙動は二極化している。約17.5万台のうち、一度だけ確認された一時的なホストが36%を占める一方で、全観測データの76%を生成しているのは、継続的に稼働し続ける約2.3万台の「永続的なバックボーン」である。この強固なコア層こそが、攻撃者にとって最も魅力的で安定した「無料のAI計算資源」として機能している事実は、組織のIT管理がAIの普及スピードに追いついていない現状を如実に示している。
AIモノカルチャー:脆さとポータビリティの表裏一体
調査結果で特筆すべきは、露出しているホストが実行しているAIモデルの「極端な均質化」である。利用されているモデルファミリーのトップ3は、Llama、Qwen2、Gemma2で固定されており、その順位に変動はほとんど見られない。
さらに、ハードウェアの制約から、モデルの圧縮形式(量子化)も「4-bit(Q4_K_M)」に集中している。全ホストの約48%がこの特定のフォーマットを採用しており、4-bit全体では72%に達する。この状況は、セキュリティの観点から見れば「モノカルチャー(単一文化)」のリスクを意味する。もし特定の量子化モデルやそのトークン処理ロジックに脆弱性が発見されれば、世界中に点在する数万件のAIインフラが、単一のゼロデイ攻撃によって同時に無力化される、あるいは乗っ取られる可能性があるのだ。
ポータビリティを重視した「どこでも動く」ための設計が、エコシステム全体の「脆弱性の連鎖」を引き起こす構造は、かつてのWindows XPや特定のApacheサーバーが抱えていたリスクと酷似している。
「ツール呼び出し」と「ビジョン」が変える脅威の質
かつてのAIセキュリティのリスクは、有害なコンテンツの生成や機密情報の流出が主だった。しかし、現在のOllamaホストは、単なる「テキスト生成器」を超えた存在へと進化している。
SentinelLABSのデータによれば、露出したホストの約48%が「ツール呼び出し(Tool-calling)」機能を有効にしている。これは、LLMが外部APIの叩き出し、コードの実行、ファイルシステムへのアクセスなどを自律的に行えることを意味する。攻撃者が特定のプロンプトを入力することで、AIを「正規のユーザー」として振る舞わせながら、社内ネットワークへの侵入やデータの破壊を命じることが可能になる。
特に、全ホストの38%に見られる「テキスト生成+ツール実行」の組み合わせは、攻撃者に特権的な操作能力を直接手渡しているに等しい。これに加え、22%のホストは画像解析を行う「ビジョン機能」を搭載している。悪意のある命令を埋め込んだ画像をAIに「見せる」ことで、従来型のテキストベースのフィルタリングを回避する「間接的プロンプトインジェクション」が現実味を帯びてきている。
さらに、26%のホストが「推論最適化モデル(Thinking models)」を実行している点も看過できない。これらのモデルは、複雑なタスクを段階的なステップに分解して処理する能力を持つ。攻撃者は、この推論能力を「多段階攻撃の計画立案」に流用し、高度に自動化された攻撃サイクルを構築する恐れがある。
ガバナンスの逆転:責任の拡散と依存の集中
今回の調査が浮き彫りにしたのは、AIインフラにおける「ガバナンスの逆転」という新たな課題である。
OpenAIやAnthropicのようなプラットフォーム提供型AIでは、管理責任はベンダーに集中している。不適切な利用はレートリミットや監視システムによって遮断される。しかし、Ollamaのようなオープンウェイトモデルの配布型エコシステムでは、モデル自体(アーティファクト)がソフトウェアとして複製・改変され、個々の「家庭用ネットワーク」や「中小企業のサーバー」へと拡散していく。
これにより、説明責任は数万件の分散した管理者に拡散する一方で、機能的な依存は、モデルを開発する一握りの巨大なAIラボへと集中する。管理の行き届かない数多くのエッジデバイスで、世界最高レベルの推論能力を持つAIが、セキュリティの「ガードレール」を外された状態で稼働している。実際に、調査では201件以上のホストが、安全装置を意図的に排除した「uncensored(検閲なし)」のプロンプトテンプレートを標準で使用していた。
経済的搾取と「LLMjacking」の台頭
この無防備なインフラは、攻撃者にとって純粋な「経済的利得」の対象にもなっている。リサーチコミュニティが「LLMjacking」と呼ぶこの手法では、攻撃者が他人のAIホストを乗っ取り、自分たちのスパム送信、フィッシングコンテンツの作成、あるいは偽情報の拡散に利用する。
特筆すべきは、露出したホストの32%が、住宅用ネットワークや固定通信キャリアのIPアドレスから接続されている点である。これらのIPアドレスは、一般的に「Bot」ではなく「人間」のものとして、各種インターネットサービスから信頼されている。攻撃者はこれら住宅用ホストを踏み台にすることで、自らの悪意ある通信を「一般家庭の正当なトラフィック」として偽装し、既存のIPレピュテーションベースの防御を無効化する「Identity Laundering(アイデンティティ洗浄)」を行うことができる。
被害を受けるのはAIホストの所有者だ。攻撃者が計算資源を使い倒す間、所有者は高額な電気料金やクラウドの計算コストを負担させられ、さらには自らのインフラが犯罪の片棒を担がされるという二重の被害に遭うことになる。
AIを「単なるソフトウェア」として扱わない
SentinelLABSとCensysの研究者らが繰り返し強調しているのは、LLMを「単なるテキスト生成ツール」としてではなく、「外部と相互作用する強力な計算基盤」として扱うべきだという点である。
今回の17.5万台という数字は、氷山の一角に過ぎない。AIの「エッジへの展開」が加速する2026年、私たちはこの「Silent Brothers」という幽霊ネットワークがもたらす教訓を真摯に受け止める必要がある。組織は、Ollamaのようなツールを導入する際、従来のWebサーバーやデータベースと同等、あるいはそれ以上の認証(Auth)、監視(Monitoring)、ネットワーク制御(Network Controls)を適用しなければならない。
オープンソースAIの力は、その自由度と透明性にある。しかし、その力がガバナンスという重石を失ったとき、それは最大の武器ではなく、最大の弱点へと転じる。AIインフラの保護は、もはや「あれば望ましい(Nice to have)」ものではなく、デジタル社会を維持するための「クリティカルな義務」となっている。
Sources