340万DL/日のAIツールにマルウェア――「認証済み」は安全の証明か

1日340万回ダウンロードされるツールが、静かに感染していた。

今週、AIエンジニアの間で広く使われているオープンソースツール LiteLLM に、深刻なマルウェアが混入していたことが明らかになりました。このツールは、OpenAI や Anthropic など数百種類のAIモデルに統一されたインターフェースでアクセスできる「AI開発者の必需品」として急速に普及。GitHubでは4万のスターを獲得し、数千のフォークが存在します。日本国内でもAIアプリケーション開発に携わるエンジニアの多くが利用している可能性があります。

何が起きたのか――「依存関係」を突いた攻撃

マルウェアを最初に発見したのは、AIエージェント企業 FutureSearch の研究科学者、Callum McMahon 氏でした。LiteLLM をダウンロードした直後、自身のマシンがシャットダウンするという異常を経験した彼は調査を開始。そこで発見したのが、LiteLLM 本体ではなく、LiteLLM が依存している別のオープンソースパッケージに仕込まれたマルウェアでした。

この攻撃手法は「サプライチェーン攻撃」と呼ばれます。標的となるソフトウェアを直接改ざんするのではなく、そのソフトウェアが依存する「部品」に悪意あるコードを埋め込む手法です。感染したマシンでは、ログイン認証情報が次々と窃取され、そこからさらに別のオープンソースパッケージやアカウントへのアクセスが試みられる、連鎖的な被害が確認されました。

皮肉なことに、マルウェア自体の設計が粗雑だったため、McMahon氏のマシンが予期せずシャットダウンしてしまい、それが発見のきっかけとなりました。著名なAI研究者 Andrej Karpathy 氏を含む複数の専門家は、このコードの粗さから「バイブコーディング（AIに大まかな指示を出して生成させるコーディング手法）で作られたのではないか」と指摘しています。発見は比較的早く、感染から数時間以内とみられています。LiteLLM のCEO Krrish Dholakia 氏は現在、セキュリティ企業 Mandiant と共同で調査を継続中です。

「認証済み」という看板の重さ

広告

広告掲載について

[email protected]

広告

この事件をより複雑にしているのが、セキュリティ認証をめぐる別の問題です。

LiteLLM のウェブサイトには、2つの主要なセキュリティ認証――SOC 2とISO 27001――を取得済みであることが明記されています。多くの企業がベンダー選定の際にこれらの認証を重視しており、日本企業でも調達基準に含めているケースは少なくありません。

ところが、これらの認証を発行したのは Delve というスタートアップ。この Delve 自体が、「偽のコンプライアンスデータを生成し、形式的な審査しか行わない監査人を使っていた」という疑惑を持たれている企業です（Delve 側はこれを否定しています）。

エンジニアの Gergely Orosz 氏はX（旧Twitter）でこう述べています。「冗談かと思ったら……本当に LiteLLM は『Delve によるセキュリティ保証済み』だったのか」

ただし、ここで一点の留保が必要です。SOC 2やISO 27001は、セキュリティポリシーや管理体制の整備を評価するものであり、すべての攻撃を防ぐ「技術的な盾」ではありません。依存関係を通じたマルウェア混入は、認証の有無にかかわらず起こりうるリスクです。問題の本質は「認証が無意味だった」ことよりも、認証の品質そのものへの信頼が揺らいでいる点にあります。

日本企業への示唆――「信頼の連鎖」をどう管理するか

この事件は、日本のIT部門やセキュリティ担当者にとっても他人事ではありません。

多くの日本企業では、オープンソースソフトウェアの利用が急速に拡大しています。製造業のDX推進、金融機関のシステム刷新、医療分野へのAI導入など、あらゆる場面でオープンソースコンポーネントが使われています。しかし、「依存関係」まで含めたセキュリティ管理——いわゆるSBOM（ソフトウェア部品表）の整備——は、まだ十分に浸透していないのが現状です。

さらに、今回の事件が問いかけるのは認証制度の信頼性です。SOC 2やISO 27001は国際的に広く認められた基準ですが、それを審査・発行する機関の質は均一ではありません。「認証を取得している」という事実が、実際のセキュリティレベルを保証するとは限らない——この認識は、調達担当者や経営層にも共有される必要があります。