Microsoftは11月3日(米国時間)、「SesameOp: Novel backdoor uses OpenAI Assistants API for command and control|Microsoft Security Blog」において、OpenAI Assistants APIをコマンド&コントロール(C2: Command and Control)通信のメカニズムとして悪用する新しいバックドアを特定したと報じた。

攻撃者はOpenAIサービスを通信に悪用することで検出を回避し、バックドアにコマンドを中継させたという。

  • SesameOp: Novel backdoor uses OpenAI Assistants API for command and control|Microsoft Security Blog

    SesameOp: Novel backdoor uses OpenAI Assistants API for command and control|Microsoft Security Blog

OpenAI Assistants APIを悪用する攻撃手法

Microsoftは新たに発見したバックドアを「SesameOp」と名付けて追跡している。このバックドアは2025年7月、Microsoft DART(Detection and Response Team)に所属する研究者が高度なセキュリティインシデントの対応時に発見したとされる。

研究者は異常なライブラリをロードするVisual Studioユーティリティを調査し、被害組織内部に設置されたWebシェルと外部との通信を支援する追加ファイルを発見。このファイルを分析した結果、SesameOpが特定された。SesameOpには永続性とステルス性があり、長期に渡る攻撃活動を支援する設計が確認できるという。

SesameOpはコマンド&コントロールとの通信にOpenAI Assistants APIを使用する。通信データはGZIP圧縮および階層化された暗号メカニズムを使用して検出を回避。コマンド&コントロールからコマンド「Payload」を受信すると、OpenAIからメッセージを取得し、メッセージからペイロードを抽出して実行する。

緩和策とOpenAIの対応

Microsoftは同様の脅威に対抗するためとして、次の緩和策を実施することを推奨している。

  • ファイアウォールとWebサーバのログを頻繁に監査する。Webサーバ以外のインターネットに露出しているすべてのシステムを対象とすることが望ましい
  • ファイアウォールや侵入検知システム(IDS: Intrusion Detection System)などを活用し、エンドポイント間の通信を可能な限りブロックする
  • 境界ファイアウォールとプロキシ設定を見直すことで、非標準ポートを含むサービスへの不正アクセスを制限する
  • 多層防御を提供する高度なセキュリティソリューションを導入する

OpenAIはMicrosoftと共同で調査を実施し、攻撃に悪用したとみられるAPIキーと関連アカウントを特定。これらAPIキーとアカウントを停止する措置を実施した。同社は引き続きMicrosoftと協力し、最新テクノロジーの悪用を阻止する方針だ。

なお、OpenAI Assistants APIは2026年8月26日にサービスを終了することが予告されている。つまり、SesameOpは約10カ月後に動作しなくなる見込みだが、それまでは同様の攻撃に警戒する必要がある。