OpenAIの公式リリースを装い、Hugging Faceでマルウェアが24万回ダウンロード

AIセキュリティ企業HiddenLayerはこのほど調査レポートを公開し、Hugging Faceプラットフォーム上で発生した重大なサプライチェーン攻撃事件を明らかにした。OpenAIの公式リリースを装った悪意のあるリポジトリがHugging Faceにアップロードされ、情報窃取型マルウェア（infostealer）を配布することでWindowsシステムを感染させ、削除されるまでに累計約24.4万回のダウンロードが記録された。HiddenLayerは、攻撃者がダウンロード数を人為的に水増しして信頼性を高めた可能性があるため、実際の被害範囲についてはさらなる評価が必要だと指摘している。

攻撃手法：OpenAIの外皮をまとった悪意のあるコード

HiddenLayerの分析によると、この悪意のあるリポジトリのファイル名、説明、タグはOpenAIが最近行ったモデルリリースのスタイルを意図的に模倣しており、公式に類似したREADMEテンプレートまで使用されていた。これにより、開発者や研究者を誤誘導し、正規のリソースと認識させようとしたものである。ユーザーが含まれている「セキュリティ検証」スクリプトをダウンロードして実行すると、悪意のあるコードがスパイウェアをサイレントインストールし、ブラウザのパスワード、暗号資産ウォレット、システム認証情報などの機微情報を窃取し、暗号化されたチャネル経由で外部に送信する。

「この種の攻撃は、開発者が著名なAI企業に対して抱く高い信頼を悪用しており、本質的にはソーシャルエンジニアリングとサプライチェーン脆弱性の複合攻撃である。」——HiddenLayerの主任セキュリティ研究員はレポートでこう指摘している。

影響評価：24万回ダウンロードの裏に潜む懸念

Hugging Faceは世界最大のオープンソースAIモデルホスティングプラットフォームとして、数百万の事前学習済みモデルとデータセットを擁し、AI開発者にとって中核的なインフラとなっている。今回の事件は孤立した事例ではなく、2024年以降、PyPI、npm、Docker Hubなどのオープンソースエコシステムを標的とする「毒入れ攻撃」が複数件公開されている。今回のマルウェアのダウンロード数は水増しされている可能性があるものの、仮にわずか1％のユーザーが実際に悪意のあるコードを実行したとしても、2400台以上の端末が感染したことになる。影響を受けたシステムには、企業のAIラボ、学術機関、さらには個人開発者の端末が含まれる可能性があり、データ漏洩の影響は計り知れない。

注目すべきは、Hugging Faceは通報を受けて迅速に該当リポジトリを削除したものの、プラットフォームの現在の自動セキュリティスキャン機構には依然として盲点が存在することである。悪意のあるコードはしばしばモデルの重みファイル内の非構造化バイナリデータに隠されており、従来の静的スキャンでは網羅的にカバーするのが難しい。

編集後記：AIサプライチェーンセキュリティの「アキレス腱」

私たちがHugging FaceからLlama 3、Stable Diffusionなどのスターモデルをワンクリックでダウンロードすることに熱中している時、これらコミュニティの「信頼の裏書き」を経たリポジトリが本当に安全なのかを考える人は少ない。今回の事件は、AI分野に特有の信頼伝播リスクを露呈した。開発者は無意識のうちに第三者モデルの公開者を公式チャネルと同等に扱い、最も基本的な検証手段を無視してしまうのである。実際、OpenAIはHugging Face上でGPTシリーズのモデルを直接公開したことはなく、公式モデルはすべて自社API、もしくはGitHub Releaseを通じて取得される。

類似攻撃を防ぐため、AI実務者は少なくとも以下を実施することが推奨される：1）モデル公開者の公式ドメインおよび身元認証を照合する；2）ダウンロードしたモデルに対してハッシュ検証を行う（公開者が提供していない場合は警戒すべきである）；3）疑わしいスクリプトは隔離環境（コンテナまたはサンドボックスなど）でまず実行する；4）プラットフォームのセキュリティ公告を購読する。Hugging Face側も、アップロード審査機構をさらに強化し、モデル署名や挙動サンドボックス検出などの多層防御能力を導入する必要がある。

本記事はAI Newsを編訳したものである