Researchers Find 175,000 Publicly Exposed Ollama AI Servers Across 130 Countries
2026/01/29 TheHackerNews — 管理されていない公開状態の AI コンピューティング・インフラが、オープンソース AI の展開により広大な領域で形成されている実態が、SentinelOne SentinelLABS および Censys による共同調査により明らかになった。この未管理インフラは、130 か国にまたがる 175,000 以上の一意な Ollama ホストで構成されており、クラウド/住宅用ネットワークの双方に分散して存在している。
これらのシステムは、プラットフォーム提供者がデフォルトで実装しているガードレールや監視機構の外側で稼働していると、研究者たちは述べている。
主要なインフラ展開国の地理的な分布を見ると、全体の 30% 強を中国が占め、それに続くのが米国/ドイツ/フランス/韓国/インド/ロシア/シンガポール/ブラジル/英国となっている。
研究者 Gabriel Bernadett-Shapiro/Silas Cutler によると、観測されたホストの約半数がツール呼び出し機能を有しており、コード実行/API アクセス/外部システムとの連携が可能な構成となっている。それが示すのは、LLM が単独のテキスト生成の用途に留まらず、より大規模なシステムプロセスへ統合され始めている現状である。
オープンソース・フレームワークである Ollama は、Windows/macOS/Linux 環境に LLM をダウンロードし、ローカルで容易に実行/管理できる。デフォルトでは “127.0.0.1:11434″ の localhost にバインドされるが、”0.0.0.0” または公開インターフェイスにバインド設定を変更するだけで、容易にインターネットへ公開が可能となる。
近年に注目された Moltbot (旧 Clawdbot) と同様に、エンタープライズ・セキュリティ境界の外側で、ローカル・ホスト型の Ollama が動作する点が新たなセキュリティ課題を生んでいる。こうした状況により、管理型 AI コンピューティングと非管理型 AI コンピューティングを識別するための、新たなアプローチが必要になっていると、研究者たちは指摘している。
観測対象ホストの 48% 以上が、API エンドポイントを通じてツール呼び出し機能を公開しており、クエリに対応する機能を示すメタデータを返却する。ツール呼び出し (機能の呼び出し) の機構とは、外部システム/API/データベースと連携する LLM が、その能力を拡張し、リアルタイム・データを取得するためのものである。こうしたツール呼び出し機能が、脅威モデルを根本的に変化させると、研究者たちは述べている。
単なるテキスト生成エンドポイントであれば、有害な出力を生成するに留まるが、ツール対応エンドポイントは特権操作の不正な実行を可能にする。このような特権操作が、不十分な認証や公開されたネットワークと組み合わされると、エコシステム全体で極めて深刻なリスクを生み出してしまう。
さらに、研究者たちの分析で確認されたものには、テキスト以外にも推論やビジョン機能などの複数モダリティをサポートするホストがあり、そのうちの 201 台は安全制御を除去した無制限プロンプト・テンプレートを実行していた。これらのシステムは公開状態にあるため、LLMjacking の対象となる可能性が高い。
LLMjacking とは、ユーザーの LLM インフラ・リソースを悪用する攻撃者が、コンピューティング・コストを被害者側に負担させる攻撃である。悪用例として挙げられるものには、スパムメール生成/偽情報キャンペーン/暗号通貨マイニングに加えて、他の犯罪グループへのアクセスの再販などがある。
このリスクは理論上のものではない。
今週、Pillar Security が公開した報告によると、認証のない Ollama/vLLM サーバ/OpenAI 互換 API エンドポイントを積極的に標的とする脅威アクターたちが、Operation Bizarre Bazaar と呼ばれる LLMjacking キャンペーンを展開しているようだ。
この犯罪サービスは、三つの要素で構成されている。
- インターネット全体を対象とした、露出している Ollama/vLLM/OpenAI 互換 API の自動スキャン。
- レスポンス品質の評価による、エンドポイント有効性の検証。
- “silver[.]inc” 上で、それらを統合 LLM API ゲートウェイとして低価格で再販する商業化フェーズ。
この一連の活動は、偵察から商用転売までを包含する、完全な帰属が確認された初めての LLMjacking マーケットプレイスであると、研究者である Eilon Cohen と Ariel Fogel は指摘している。この悪意のオペレーションは、Hecker (別名 Sakuya/LiveGamer101) と呼ばれる脅威アクターに帰属する。
クラウド/住宅などの環境に分散する Ollama エコシステムの非集中型構造は、ガバナンスの空白を生むだけではなく、プロンプト・インジェクションや、被害者のインフラを介した悪性トラフィックの中継といった、新たな攻撃経路を生み出している。
LLM がエッジへ展開され、指示を直接アクションへ変換する役割を担いつつある現実が、防御側の要点として挙げられている。そのため、外部公開される他のインフラと同様に、認証/監視/ネットワーク制御を厳格に適用する必要があると、研究者たちは結論付けている。
オープンソース LLM 実行環境である Ollama が、セキュリティ管理の及ばない状態でインターネットに大量に公開されている実態が、SentinelOne と Censys の共同調査により判明しました。世界の 130 カ国で 175,000 台以上のホストが確認されており、その多くが “認証なし” かつ “外部システム操作可能” という、きわめて危険な状態で放置されています。
AI モデルが、言葉を生成する段階から、アクションを実行するエッジ・デバイスへと進化している現在において、他の Web サーバやデータベースと同様に、公開される AI サーバは厳格な管理下に置く必要があります。
組織内で Ollama や vLLM などのオープンソース AI を利用している場合には、インターネットから直接アクセスできないようにするためのネットワーク隔離 (VPN 経由など) を行い、API キーによる認証を有効化する必要があります。また、AI エージェントがアクセスできる “ツール” や “権限” を最小限に制限することも、致命的な侵害を防ぐために不可欠です。
よろしければ、Ollama での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.