Rayフレームワーク脆弱性につけこむグローバルなAIリソース乗っ取り事例

悪意のあるハッカーがオープンソースAIフレームワーク「Ray」の開発環境を攻撃し、グローバルなクリプトジャッキングボットに転用しているとOligoのAvi Lumelsky氏とGal Elbaz氏が報告した。

Rayは「Kubernetes for AI」とも呼ばれ、認証無しでリモートコード実行できるAPIの脆弱性が存在する。Oligoによると、オンライン上には20万台以上のRayサーバーが公開されており、スタートアップや研究機関、クラウドAI環境などが含まれている。

攻撃者はJob Submission APIの不具合を利用し、ダッシュボード経由で不正なタスクを送信している。NVIDIA A100 GPUのリソースを標的として乗っ取り、GitLabやGitHub上で活動している。

本脆弱性「CVE-2023-48022」は完全に修正されていない状態であり、GitHubは違反アカウントを削除する対応を取っている。2024年9月以降から攻撃者が潜伏していた可能性が示唆されている。

From: Hackers turn open-source AI framework into global cryptojacking operation

【編集部解説】

Rayフレームワークは、AI分野で普及が進み「Kubernetes for AI」とも呼ばれる分散計算の基盤です。しかし、認証なしでジョブを送信できるAPIの仕様上、CVE-2023-48022という脆弱性が生まれてしまい、現在も未修正のまま運用されているクラスタが多く残っています。

攻撃者はRayの正規機能を悪用して、GitLabやGitHub上からPython/Bashなどのマルウェアをジョブ送信APIで展開し、ノード間で自律的に拡散しています。標的はNVIDIA A100 GPUを搭載した高価なクラウドリソースで、研究機関やスタートアップ、AI実験環境が多数被害対象となっています。

公式のRayプロジェクトは「信頼できるネットワーク内で利用する前提」としていますが、実際はクラウドやインターネット公開が増え、適切な認証や監視が抜けている環境が多いです。攻撃者は公開されているクラスタを調査し、ネットワーク越しに多段階のペイロードを送り込み、他のクリプトジャッカーやマルウェアと競合しつつリソース奪取を続けています。

この攻撃は、AIやGPUの価値が高騰する現代だからこそ発生したものであり、今後クラウド利用やAI基盤の成長、国家・企業間の競争にも直接影響を与え得ます。安全な設計思想と現場の運用実態にはギャップがあり、この事案は分散AI基盤のセキュリティモデルを再考する契機となるでしょう。

規制上の観点では、利用者自身が責任を持って監視・隔離を徹底する必要があり、その責任範囲が今後厳格化される可能性があります。また、AIワークロード流出による機密情報漏洩、モデル改ざんリスクは、今後のAI業界全体の信頼性や安全基準にも波及する懸念があります。

【用語解説】

Ray
Pythonベースの分散処理フレームワーク。複数のマシンやクラウド環境で大規模AIワークロードの管理やスケーリングを実現する。

クリプトジャッキング
被害者の計算リソースを無断で利用し、暗号通貨のマイニングを行うサイバー犯罪手法。

API（Application Programming Interface）
アプリケーションと他のプログラムやサービスが機能・データをやり取りするためのインターフェース。

ジョブ送信API
クラウドや分散コンピューティングで、タスク（ジョブ）をシステムに投入・指示するためのAPI。

CVE（Common Vulnerabilities and Exposures）
脆弱性に関する標準的な識別子。CVE-2023-48022はRayの未修正API脆弱性。

【参考リンク】

Ray公式（外部）
オープンソースで開発されている分散コンピューティングフレームワークRayの公式ドキュメント。

GitHub（外部）
ソフトウェア開発やコラボレーションに使われる世界最大規模のソースコード共有プラットフォーム。

GitLab（外部）
リモートリポジトリ管理やCI/CD機能を持つDevOpsプラットフォームの公式サイト。

NVIDIA（外部）
A100 GPUをはじめとするハードウェアやAI関連ソリューションを展開する米国半導体企業の公式サイト。

Oligo Security（外部）
ソフトウェアの脆弱性管理やセキュリティサービスを提供するサイバーセキュリティ企業。

【参考記事】

New ShadowRay attacks convert Ray clusters into crypto miners（外部）
Rayクラスタをターゲットとした新型「ShadowRay」攻撃が解説されており、API脆弱性経由でノードが乗っ取られ、GPUマイニング用に悪用されている実態を解説している。

ShadowRay 2.0 Exploits Unpatched Ray Flaw to Build Self-Replicating Cryptojacking Botnet（外部）
Ray未修正脆弱性（CVE-2023-48022）を利用した自己増殖型ボットネットの事例、攻撃の構造やクラウドAIリソース盗用のリスク、継続的な攻撃再発例を網羅的に紹介している。

Ray AI Framework Vulnerability Exploited to Hack Hundreds of Clusters（外部）
RayのAPI脆弱性が原因で複数のクラスタが乗っ取られた事例について解説し、AIインフラ運用のリスクを提起している。

【編集部後記】

AIやクラウドを活用する現場が増える中、知らぬ間に計算リソースが不正利用されてしまうクリプトジャッキングというリスクも身近になってきました。Rayのセキュリティ問題は、単なる技術的課題にとどまらず、組織の運用とコスト、さらには社会全体の信頼にも関わります。

今、ご自身の環境や使っているサービスの「安全性」について考えてみませんか。日々進化するテクノロジーの中で、あなたならどのような対策や意識を持つべきだと思いますか。皆さんのご意見や体験もぜひ聞かせてください。