AIトレンドの裏側で進行する脅威：Hugging Faceを悪用したマルウェア配布の手口と対策

AI開発者や研究者がモデルやデータセットを共有するプラットフォーム「Hugging Face」において、OpenAIの公式プロジェクトを装った悪意あるリポジトリが発見されました。このリポジトリは、AI関連ツールを求めるユーザーをターゲットにし、システムに深刻な被害を与えるマルウェアを配布していました。本記事では、この攻撃の仕組みと対策について解説します。

悪意あるリポジトリの全容と攻撃手法

巧妙ななりすましと拡散

攻撃者は「Open-OSS/privacy-filter」というリポジトリを作成し、OpenAIの正当な「Privacy Filter」プロジェクトを模倣しました。リポジトリはモデルカードをほぼそのままコピーし、さらにトレンドリストの1位にランクインさせることで、多くのユーザーの信頼を勝ち取りました。最終的に24万回以上のダウンロードを記録しましたが、これらはボットによる不正な操作によって人為的に水増しされた可能性が高いとされています。

マルウェアの実行プロセス

ユーザーがリポジトリ内の「loader.py」を実行すると、バックグラウンドで攻撃が開始されます。このスクリプトは、一見AIに関連する無害なコードを装っていますが、実際にはSSL検証を無効にし、外部からPowerShellコマンドをフェッチします。最終的には、「sefirah」と呼ばれるRustベースの情報窃取（インフォスティーラー）マルウェアがシステムにインストールされ、Microsoft Defenderの監視対象外にする設定まで自動的に行われます。

被害範囲と目的

このマルウェアは、ブラウザに保存されたパスワードやクッキー、Discordのトークン、暗号通貨ウォレットのキー、SSH/FTP/VPNの認証情報、そしてシステム内の機密ファイルを広範囲にわたって窃取します。盗まれたデータは外部のコマンド＆コントロール（C2）サーバーに送信されます。さらに、VM（仮想マシン）やサンドボックス環境での分析を回避するための高度な機能も実装されています。

AIプラットフォームのセキュリティリスクと今後の展望

信頼の罠：オープンソースの落とし穴

今回、Hugging Faceという信頼性の高いプラットフォームが悪用されたことは、オープンソースや共有コミュニティにおける「信頼」の危うさを浮き彫りにしました。利用者は「トレンド上位にランクインしているから安全だ」と誤認しがちですが、サイバー犯罪者はこの心理的バイアスを巧みに利用します。開発者や研究者がコードを実行する際、GitHubやHugging Faceのランキングだけで安全性判断をすることが、いかにリスクを伴うかを再認識する必要があります。

AIサプライチェーンセキュリティの重要性

AIモデルやデータセットを配布するプラットフォームは、今後サイバー攻撃の主要な標的となるでしょう。今回の事例は、AIサプライチェーン全体におけるセキュリティ対策の強化を急務として突きつけています。今後は、単なるファイルの検証だけでなく、実行するコードの挙動をサンドボックスで監視する、あるいはリポジトリに対する署名の確認を徹底するといった、より多層的な防御策が開発現場での標準になるべきです。AI技術の急速な普及に対し、セキュリティの意識改革とツール導入が追いついていないのが、現在直面している本質的な課題と言えます。