概要
セキュリティ企業Cyeraは2026年5月5日、AIフレームワーク「Ollama」に存在する深刻な脆弱性「Bleeding Llama」(CVE-2026-7482)を公開した。CVSSスコアは9.1(クリティカル)と評価されており、影響を受けるバージョンは0.17.1以前のすべて。Ollamaはデフォルトで認証機構なしに全ネットワークインターフェースをリッスンして起動するため、インターネット上に露出している約30万台のサーバーが攻撃対象となりうる。
技術的な詳細
脆弱性はGGUFモデルローダーのヒープ領域外読み出しに起因する。攻撃者が細工したGGUFファイルを用意し、宣言されたテンソルオフセットとサイズがファイルの実際の長さを超える状態を意図的に作り出すことで、ヒープバッファを越えたメモリ読み出しが発生する。GoのunsafeパッケージをGGUFローダーが利用しているため、WriteTo()関数がGoランタイムのメモリ安全性保証を回避してしまうことが根本的な原因だ。
攻撃チェーンは以下の3段階で構成される。
- 膨張したテンソル形状を持つ不正なGGUFファイルを
/api/createエンドポイントへアップロードして脆弱性を発動し、ヒープメモリの読み出しを実行する - Ollamaの組み込みモデルプッシュ機能(
/api/push)を悪用し、盗取したヒープデータを攻撃者の管理するサーバーへ送信する - 流出したメモリには環境変数・APIキー・システムプロンプト・並行ユーザーの会話データなど機密情報が含まれる可能性がある
これらの操作はすべて認証なしで実行できる。
追加脆弱性とWindows固有のリスク
今回の調査ではBleeding Llamaに加え、WindowsのOllamaアップデートメカニズムに関する未修正の2件の脆弱性も発見されている。CVE-2026-42248(CVSS 7.7)は署名検証を行わずにアップデートを適用する問題、CVE-2026-42249(CVSS 7.7)はパストラバーサルを許す問題で、いずれもバージョン0.12.10〜0.22.0が影響範囲とされる。Windowsユーザーは自動更新を無効化し、スタートアップフォルダからOllamaを取り除くことが暫定対策として推奨されている。
推奨対応
Ollama 0.17.1でCVE-2026-7482は修正済みであり、即座のアップデートが最優先の対応策だ。それに加え、ファイアウォールや認証プロキシ・APIゲートウェイの導入、ネットワークセグメンテーションの実施、インターネット公開インスタンスの監査が推奨される。Ollamaはデフォルトで認証なし・全インターフェースリッスンという設計であるため、企業・組織での利用においてはネットワーク境界の防御が不可欠となる。