- 今月第2週のインシデント概観
- 事例:AIで武器化されたゼロデイ「業界初確認」(GTIG 2026年5月11日報告)
- 事例:LLMプロキシ「BerriAI LiteLLM」のSQLi(CVE-2026-42208)とAI実行基盤「Ollama」のメモリ漏洩(CVE-2026-7482、Bleeding Llama)
- 事例:「Dirty Frag」Linux権限昇格チェーン(CVE-2026-43284 + CVE-2026-43500)
- 事例:Ivanti EPMM(CVE-2026-6973)とpgAdmin 4—管理ツールの脆弱性が続く
- 共通する教訓
- 業種別影響
- 一枚要約
- 今日着手できる3アクション
- AI×セキュリティの観点
- 用語ミニ解説
- 参考リンク
今月第2週のインシデント概観
前回の事例まとめ(5月5日公開)では、Sorryランサムウェアの国内拡大とLinux権限昇格脆弱性を取り上げました。5月7〜12日の第2週は、さらに性質の異なる脅威が4件重なっています。なかでも最大の転機は、Google Threat Intelligence Group(GTIG1)が2026年5月11日に「攻撃者がAIモデルを使ってゼロデイ脆弱性を発見・武器化した事案を、業界として初めて公式に記録した」と公表したことです。同時期、LLMプロキシと推論実行基盤それぞれに深刻な脆弱性が公表されており、AIツール自体が攻撃対象になる傾向も顕在化しています。
事例:AIで武器化されたゼロデイ「業界初確認」(GTIG 2026年5月11日報告)
Google GTIGは2026年5月11日、ある脅威アクターがAIモデルを使って「オープンソースのWebベース管理ツール」のゼロデイ脆弱性を発見・武器化し、有効なユーザー資格情報があれば二要素認証(2FA)を素通りできる攻撃を準備していたと公表しました(SecurityWeek 出典、The Hacker News 出典)。脆弱性の本質は認証ロジック内の「semantic logic error」(開発者がアプリ側の認証強制と矛盾する信頼前提をハードコードしていた)で、AIが脆弱性発見とエクスプロイトコード生成の両方に使われた可能性が高いとGTIGは「high confidence」で評価しています。生成されたPythonスクリプトに「教育的な文字列」「ハルシネートされたCVSSスコア」が含まれており、人間の攻撃者なら通常含めない要素が AI 生成の指標とされています。GTIGは大規模悪用キャンペーン開始前にベンダーと連携してパッチを公開させ、被害発生を防ぎました。被害ツール名と攻撃者組織は非開示です。
従来「AI が攻撃支援に使われた事例」は数多く報告されてきましたが、AIが攻撃ライフサイクルの脆弱性発見からエクスプロイト武器化まで一貫して機能した事例を主要ベンダーが公式に記録したのはこれが初です。「AI が侵害を直接引き起こした年とは見做さない」としたMandiant M-Trends 2026の慎重な評価と並行する形で、攻撃側 AI の自律性レベルが一段上がったことを示しています。
対策:
- 設計: パスワード+OTPの2FAから、フィッシング耐性のあるFIDO2/パスキー認証への移行を計画化します。Semantic logic errorは認証フローの矛盾に潜むため、認証関連コードのモデル検査(formal verification)を CI に組み込むことも検討します。
- 運用: 認証成功直後に異なる IP・User-Agent から API 呼び出しが発生する異常パターンを SIEM ルール化します。
- ガバナンス: 脅威インテリジェンスの更新頻度を AI 駆動エクスプロイト開発の速度に合わせ、四半期単位から月次更新に引き上げる判断を経営層に共有します。
事例:LLMプロキシ「BerriAI LiteLLM」のSQLi(CVE-2026-42208)とAI実行基盤「Ollama」のメモリ漏洩(CVE-2026-7482、Bleeding Llama)
今週はAI関連ツール2製品に深刻な脆弱性が相次いで公開されました。
BerriAI LiteLLM2(複数のLLMサービスを統一APIで扱えるOSSプロキシ)のSQLインジェクション脆弱性CVE-2026-42208(CVSS 9.8 CRITICAL、認証不要のリモート攻撃)が悪用されているとして、CISAが2026年5月8日にKEVカタログへ追加しました。修正期限(FCEB機関向けBOD 22-013)は2026年5月11日と短期です(CISA Alert 出典)。データベース内のAPIキーや認証情報が読み取られるおそれがあり、国内メディアも警告しています(Security NEXT 出典)。
Ollama4(ローカル環境でLLMを実行するOSS、デフォルトポート11434)のヒープ境界外読み取り脆弱性 CVE-2026-7482(CVSS 9.1 CRITICAL)はCyeraが「Bleeding Llama」と命名し、世界で30万台超のサーバに影響すると報告しました(Cyera Research 出典、The Hacker News 出典)。GGUFモデルローダーの不適切なテンソルshape検証を悪用すると、未認証のリモート攻撃者が /api/create 経由で APIキー・環境変数・システムプロンプト・他ユーザーの会話履歴などヒープ上の機密データを漏洩させられます(プロセスメモリ全体ではなく、ヒープ近接領域)。修正版はOllama 0.17.1です。
対策:
- 設計: LiteLLMインスタンスは外部公開しない構成を原則とし、APIキーのローテーション機構を整備します。Ollamaも社内ネットワーク限定で運用するのが基本です。
- 運用: Ollamaは即座に 0.17.1 へ更新します。Systemdでサービス運用している場合は
Environment=OLLAMA_HOST=127.0.0.1をサービスファイルに追加し、v0.4.x 以降であればOLLAMA_API_KEY環境変数を設定して認証を有効化します。公開ポートの確認はss -tlnp | grep 11434で行います。LiteLLMは BOD 22-01 期限の通り即時パッチ適用、未対応なら CISA KEV 連動の優先度1扱いとします。 - ガバナンス: 社内で稼働しているAIミドルウェア(LLMプロキシ・推論基盤・モデルレジストリ)のインベントリを整備し、脆弱性情報の購読対象に加えます。Ollamaで独自ファインチューニングモデルを保持している場合、モデルウェイトの流出は知的財産リスクにもつながるため、保管領域へのアクセス制御も併せて見直します。
事例:「Dirty Frag」Linux権限昇格チェーン(CVE-2026-43284 + CVE-2026-43500)
2026年5月8日、独立研究者Hyunwoo Kim氏がLinuxカーネルの新たな権限昇格脆弱性チェーン「Dirty Frag」を、別研究者によるエンバーゴ破りを受けてパッチ前に公開しました(Help Net Security 出典、Wiz Blog 出典)。2つのCVEは異なるカーネルサブシステムに対応します。
- CVE-2026-43284(CVSS 8.8 HIGH):xfrm/ESP(IPsec)サブシステムのページキャッシュ書き込みプリミティブ。影響コードは2017年頃から存在。
- CVE-2026-43500(CVSS 7.8 HIGH):RxRPC(Linux のリモートプロシージャコール)サブシステム。影響コードは2023年頃から存在。
2つを連鎖させると非特権ローカルユーザーがroot権限を取得できます。Working PoC が同日公開されたため、悪用までの猶予は短いと見られます。Ubuntu・RHEL・CentOS Stream・AlmaLinux・Fedora・openSUSE・OpenShift いずれも影響対象で、Microsoft Security Blog は「active attack」として分析しています(Microsoft 出典)。
対策:
- 設計: Linuxサーバへのローカルシェルアクセス権限を最小化し、一般ユーザーからのカーネル操作を制限します。マルチテナントKubernetes環境では、ホストカーネルを共有するすべてのコンテナに影響が及ぶため、特権コンテナだけでなく非特権コンテナからのホスト侵害リスクが現実化する点に注意します。ランタイム検知ツール(Falco等)の併用を検討します。
- 運用: 各ディストリビューションのアドバイザリ(RHSB-2026-003、Ubuntu blog)を確認し、修正版カーネルが提供され次第適用します。CVE-2026-43500側のパッチは段階適用となります。
- ガバナンス: パッチ前に詳細が公開された事例として、エクスプロイト開発速度の早期化を脅威モデルに反映させます。コーディネーティッド・ディスクロージャーが破られる事例の影響を、CSIRT 体制と対外連携の運用前提に組み込みます。
事例:Ivanti EPMM(CVE-2026-6973)とpgAdmin 4—管理ツールの脆弱性が続く
Ivanti Endpoint Manager Mobile(EPMM、企業のモバイルデバイスを一元管理するMDMプラットフォーム)の不適切な入力検証脆弱性 CVE-2026-6973(CVSS 7.2 HIGH)がCISAによって2026年5月7日にKEVカタログ追加され、修正期限は2026年5月10日と短期に設定されました(CISA Alert 出典)。修正バージョンは Ivanti EPMM5 12.6.1.1 / 12.7.0.1 以降で、Ivantiのサポートポータルから取得します。
また、pgAdmin 4(PostgreSQL向けのWebベース管理ツール)でも、認証情報漏洩や任意コマンド実行につながる複数の脆弱性が2026年5月12日に報告されています(Security NEXT 出典)。サーバモード(複数ユーザーがWeb経由でアクセス)とデスクトップ版で影響の現れ方が異なり、サーバモードでの公開運用が最もリスクが高くなります。
対策:
- 設計: Ivanti EPMMはVPN経由のアクセスに限定し、インターネット直接公開を避けます。pgAdminサーバモード運用ではリスナーアドレスを
127.0.0.1またはLAN限定に絞り、デスクトップ版利用者はバージョン更新のみで対応します。 - 運用: 両製品のバージョンをベンダーAdvisory参照のうえ確認し、修正版が提供されていれば速やかに適用します。FCEB機関は BOD 22-01 期限内の適用が義務付けられています。
- ガバナンス: 管理ツールを「特別に管理すべき攻撃面」として台帳化し、優先パッチ適用対象に分類します。Ivanti製品は2023〜2026年にかけてKEV登録が複数件続いているため、調達・契約の更新タイミングで代替プラットフォーム比較を選択肢に含めることも検討に値します。
共通する教訓
今週の4事例を横断すると、3つの傾向が際立ちます。第一に、業務を支える管理・運用ツール自体が侵入口になっている点。LiteLLM・Ollama・Ivanti EPMM・pgAdmin 4 はいずれも「本来の業務インフラ」ですが、そのツール自身の脆弱性が攻撃者に利用されています。第二に、AI生成エクスプロイトの初確認は脅威の進化速度が新たな段階に入ったことを示します。第三に、エンバーゴ破りで PoC が事前公開された Dirty Frag のように、エクスプロイト情報の公開タイミングは攻撃者有利に動きやすくなっています。利用中のツールを把握し、即応できる体制を整えておくことが、今週の事例が示す最大の教訓です。
業種別影響
- IT・SaaS / AI開発企業: LiteLLMやOllamaを自社インフラで運用している組織は直撃を受けます。APIキー漏洩はサービス全体の信頼性に直結するため、脆弱性管理の優先度を最上位に設定することが現実的です。独自ファインチューニングモデルを Ollama 上に保持している場合は知財流出リスクも併せて評価します。
- 製造業: Ivanti EPMMのようなMDMプラットフォームは工場・現場の端末管理でも広く使われています。OT環境との境界付近に管理サーバが置かれているケースでは、侵入後の横断移動リスクが高まります。マルチテナントKubernetes環境の Dirty Frag リスクも、IT/OT分離設計の前提に組み込んで再評価する必要があります。
- 医療機関: pgAdmin 4は中小規模の医療機関が院内DB管理に使うケースがあります。患者情報を格納するDBへの管理画面経由の攻撃は、個人情報保護法および医療情報安全管理ガイドラインの観点から深刻な影響をもたらし得ます。
一枚要約
今週は「AI生成エクスプロイトの業界初確認(Google GTIG)」「LLMプロキシ LiteLLM の SQLi(CVE-2026-42208、CISA KEV)」「AI実行基盤 Ollama のメモリ漏洩(CVE-2026-7482、Bleeding Llama)」「Linuxカーネル権限昇格 Dirty Frag(CVE-2026-43284 / CVE-2026-43500)」「Ivanti EPMM の KEV 追加(CVE-2026-6973)」が重なりました。自社への影響としては、LiteLLM・Ollama・Ivanti EPMM・pgAdmin 4 の利用有無をただちに確認し、Ollamaは 0.17.1 への更新と認証有効化、LiteLLM/Ivanti EPMM は CISA KEV 期限内のパッチ適用を最優先化することが求められます。AIツールを業務導入している組織は、そのツール自体が攻撃面になるという認識のもと、インベントリ整備とパッチ管理体制の点検を進める必要があります。
今日着手できる3アクション
- LiteLLM・Ollamaの稼働有無と公開状況を確認する: 社内の開発チームや情シスに「AIミドルウェア・推論エンジンの一覧」を照会し、LiteLLMおよびOllamaが含まれていればただちにベンダーAdvisoryを確認します。Ollamaのインターネット公開有無は
ss -tlnp | grep 11434で確認し、公開中ならまず外部アクセスを遮断します。 - Ivanti EPMMのパッチ状況を確認する: Ivantiのサポートポータル(
portal.ivanti.com)にログインし、CVE-2026-6973の修正バージョン(12.6.1.1 / 12.7.0.1 以降)と適用状況を確認します。BOD 22-01 期限は5月10日でした。 - Linuxカーネルのパッチ計画を更新する: 自社で稼働しているLinuxサーバ・コンテナホストの一覧から、Dirty Frag(CVE-2026-43284、CVE-2026-43500)の影響カーネルバージョンを使っているものを抽出し、ディストリビューション側の修正版適用順序を72時間以内に決定します。
AI×セキュリティの観点
今週の最大の転機は、攻撃者がAIを「脆弱性探索・エクスプロイト生成ツール」として実戦投入したとGoogle GTIGが確認したことです。「AI悪用は時間の問題」とされてきた仮定が、現実の事案として記録されました。同時に、LLMプロキシや推論実行基盤の脆弱性は「AIを守る側」の課題でもあります。AI導入を進める組織ほどAIインフラ自体の脆弱性管理が手薄になりやすく、攻撃面の拡大と管理体制の整備が競争する局面に入っています。Mandiant M-Trends 2026 が指摘する PROMPTFLUX/PROMPTSTEAL/QUIETVAULT のような攻撃側 AI 統合と合わせ、防御側でも「AI が攻撃者の生産性を底上げする」前提で運用設計を見直す必要があります。
用語ミニ解説
- GTIG(Google Threat Intelligence Group):Mandiant 等を統合した Google の脅威インテリジェンス組織。M-Trends 等のレポートを発行する。 ↩
- LiteLLM:BerriAI社が開発する OSS で、複数の LLM プロバイダ(OpenAI・Anthropic・Google等)を統一 API で扱えるプロキシ・ゲートウェイ。社内 AI ハブとして導入する企業が増えている。 ↩
- BOD 22-01:CISA が米国連邦民間行政機関(FCEB)に対し、KEV カタログ収録の脆弱性を所定期限内に修正することを義務化する指令。 ↩
- Ollama:ローカル環境で LLM(Llama・Mistral・Gemma 等)を実行する OSS フレームワーク。デフォルトポート 11434 で REST API を提供する。v0.4.x 以降は OLLAMA_API_KEY による認証が利用可能。 ↩
- Ivanti EPMM:Endpoint Manager Mobile の略。企業のモバイルデバイスを一元管理する MDM プラットフォーム。旧称 MobileIron Core。 ↩
- 2FA / 多要素認証:パスワード以外の追加要素(SMS/認証アプリ/ハードウェアキー等)を要求する認証方式。SMSベースは中間者攻撃に弱く、FIDO2/パスキーへの移行が推奨される。 ↩
※ 公開後の検証メモ(2026-05-16 監査):
- pgAdmin 4・Ivanti EPMM の脆弱性: CVE 番号・影響バージョン・修正版・攻撃要件(認証有無・攻撃ベクター)は NVD および各ベンダー公式アドバイザリで個別確認をおすすめします(特に Ivanti EPMM CVE-2026-6973)。
- BOD 22-01 の適用範囲: FCEB(米国連邦行政府機関)への義務であり、民間・日本企業に直接の法的義務は及びません。「米連邦機関」表記は FCEB を指します。
- 関連法令: インシデント発生時の報告義務は、改正個情法第 26 条(速報 3〜5 日・確報 30 日、不正アクセスは 60 日)、米 SEC Item 1.05(重要性決定から 4 営業日、Limited Disclosure Delay あり)、米 CIRCIA(重要インフラ向け、最終規則化作業中)等を各管轄で確認してください。
コメント