概要
AI画像生成プラットフォームとして広く普及しているComfyUIのインターネット公開インスタンスを標的とした、巧妙な大規模攻撃キャンペーンが確認された。セキュリティ研究者は、1,000件以上の公開ComfyUIインスタンスが暗号通貨マイニングやプロキシボットネットに悪用可能な脆弱な状態にあることを特定した。攻撃者はクラウドのIPレンジを継続的にスキャンする専用のPythonスキャナーを使い、ComfyUI-Managerがインストールされた認証なしの公開インスタンスを自動的に発見・侵害する手法をとっている。
攻撃手法:悪意あるカスタムノードの自動インストール
攻撃の中核は、ComfyUIのカスタムノード機能を悪用したリモートコード実行にある。認証なしで公開されたデプロイメント上でカスタムノードが生のPythonコードをそのまま実行できるという致命的な設定ミスを突いている。スキャナーはまずComfyUI-Shell-ExecutorやComfyUI_Fill-Nodesなど既知の脆弱なノードファミリーの存在を確認し、見つからない場合はComfyUI-Managerを経由して攻撃者自身が作成した悪意あるノードパッケージ(ComfyUI-Shell-Executor)をインストールした上で再度攻撃を試みる。コード実行に成功すると、攻撃者のサーバーからシェルスクリプト(ghost.sh)がダウンロードされ、証拠隠滅のためにComfyUIのプロンプト履歴が消去される。
多重の永続化メカニズムと高度な回避技術
侵害後のマルウェアは、検出・削除を困難にする複数の永続化手法を組み合わせている。シェルスクリプトは6時間ごとに自動ダウンロードされ、ComfyUI起動時にエクスプロイトワークフローが再実行される。さらにchattr +iコマンドによりマイナーバイナリをroot権限でも削除・変更できないファイルとして固定し、LD_PRELOADフックを利用してウォッチドッグプロセスを隠蔽することでマイナーが終了した場合でも自動再起動する仕組みを持つ。
2026年4月2日に観測された更新バージョンでは、さらに高度な回避技術が追加されている。RAM容量、ネットワークインターフェース数、デバッガーの有無、「sandbox」「malware」「honeypot」などのシステムキーワードをもとにリスクスコアを計算し、サンドボックス環境と判断した場合は処理を中断する。また、CPU使用率80%超のプロセスや疑わしいディレクトリ(/tmp、共有メモリ、/var/tmp)で動作するプロセスを積極的に終了させる機能も備えている。
マイニング・プロキシボットネット・ラテラルムーブメント
侵害されたホストはXMRig経由のMonero(XMR)とlolMiner経由のConflux(CFX)の暗号通貨マイニングに利用される。すべての採掘活動はFlaskベースのC2ダッシュボードを通じて管理される。また感染マシンはHysteria V2ボットネットに組み込まれ、プロキシノードとして転売される可能性がある。競合するボットネット(「Hisana」など)を発見した場合は単に終了させるだけでなく、設定を書き換えて採掘益を攻撃者のウォレットに横取りし、C2ポートをダミーのPythonリスナーで占拠するという徹底した手口をとる。さらに、Docker(ポート2375)や認証なしのRedisサーバーへの横展開機能も持ち、SSHキーを登録することで継続的なリモートアクセスも確保する。
攻撃インフラと背景
攻撃ツールキットはAeza Group(ブレットプルーフホスティングプロバイダー)と関連する77.110.96[.]200のIPアドレス上で発見された。攻撃者のシェルコマンド履歴からは、継続中のRedisデータベース攻撃キャンペーンとの関連も示唆されている。今回の事案はSpamhausが2025年の2つの半期にそれぞれ26%・24%のボットネットノード増加を報告するなど、より広範なボットネット活性化傾向の一部と位置づけられる。公開状態のComfyUIインスタンスを持つユーザーは、認証設定の見直しや外部アクセスの制限など、即時の対策が求められる。