Stable Diffusion WebUIの脆弱性 ― 社内サーバー侵害経路

Stable Diffusion WebUIの脆弱性 ― 社内サーバー侵害経路

生成AIブームの裏で、社内に静かに増殖している「画像生成サーバ」がある。AUTOMATIC1111／stable-diffusion-webui（A1111）やComfyUIを、デザイナーや企画チームがGPU付きワークステーションに自前で立てる構図だ。多くは情シス台帳に載らず、認証なしで社内LANに晒されている。A1111には未認証RCEに直結するパストラバーサル脆弱性^[1]、ComfyUIには認証バイパス（CVE-2025-30359）^[2]が報告され、Pickleモデル経由の任意コード実行も執拗に観測される^[3]。本稿はCISO・情シス向けに、Stable Diffusion基盤が「シャドウAIサーバ」として侵害の足場になる構造を整理する。

1. Stable Diffusion WebUIが社内に増殖した背景

2022年8月のStable Diffusion 1.4公開と同時期に登場したA1111のWeb UIは、「Pythonコマンド一発でブラウザから画像生成」^[4]という体験をローカルにもたらし爆発的に広がった。GitHubスター15万超^[4]、ComfyUIも7万スター^[5]で生成AIスタックのデファクトとなっている。だが導入の容易さはそのままセキュリティ上の盲点を生んだ。

典型的な社内導入は三つ。デザイン部門がRTX4090搭載PCでA1111を立て部内サーバ化、開発部が余剰GPUサーバでComfyUIをPoC運用、研究部門がHuggingFaceのfine-tuneモデルを社内NASに配備。いずれも（1）情シス管理外、（2）パッチ個人裁量、（3）`–listen`でLAN全公開、（4）モデル出所不明、の4要素を抱える。「シャドウIT」では足りず「シャドウAI基盤」と呼ぶべきリスクだ^[6]。

2. 既知CVE一覧：A1111／ComfyUI／関連エコシステム

Stable Diffusion関連で実在が確認できる主要CVEを列挙する。

• CVE-2024-21638（A1111）：APIエンドポイントを介したパストラバーサル。リモートから任意ファイル読み書きが可能、`–api`フラグ有効時に深刻化^[1]。
• CVE-2025-30359（ComfyUI）：認証バイパスにより未認証ユーザーが管理機能を利用可能。LAN公開インスタンスで悪用される^[2]。
• CVE-2024-3568（HuggingFace Transformers）：`from_pretrained`経由のモデル設定ファイルでRCE。SD派生モデルのロード経路に影響^[7]。
• CVE-2023-6730（HuggingFace Transformers）：信頼できないモデルロード時のデシリアライズ欠陥^[8]。
• CVE-2024-34359（llama-cpp-python）：Jinja2 SSTI。生成AIスタックでJinja2を共有するA1111系拡張も波及^[9]。
• Gradio関連CVE：A1111のフロントエンドGradioにSSRF・ファイル読み取り（CVE-2023-51449他）が複数報告^[10]。A1111はGradioを土台にするため脆弱性はそのまま波及する。

A1111／ComfyUIはともに「個人開発・コミュニティ運用」が基本で、商用ベンダーのような恒常的脆弱性開示プロセスを持たない。CVE採番されない不具合や、Issueに上がったまま黙ってマージされる修正も多い。

3. Pickle／.ckpt経由攻撃の技術構造

Stable Diffusionのモデルファイルは歴史的に`.ckpt`（PyTorch `torch.save`／内部Pickle）が主流だった。Pickleは任意Pythonオブジェクトをシリアライズでき、ロード時に`__reduce__`経由で任意コードを実行できる設計である^[3]。悪意ある`.ckpt`を`load_state_dict()`に渡した瞬間に攻撃者のシェルコードが走る。

HuggingFace社の調査ではHub上のモデルから100件超のmalicious pickle payloadが発見され^[11]、JFrog Securityも同種の悪意モデルを多数検出している^[12]。ペイロードは典型的に、リバースシェル、SSH公開鍵追記、Cryptominer常駐、`~/.aws/credentials`や`id_rsa`の外部送出――のいずれかを行う。

対抗策として登場したのが`.safetensors`フォーマット^[13]。Tensorデータのみをmemory-mapで読む設計でコード実行の余地がない。HuggingFaceは2023年以降この形式を標準とし、Stability AI公式もこちらに移行した。しかし社内現場では、古いLoRA／VAE／embedding類が依然`.pt`／`.ckpt`で配布され、ユーザーがcivitai.com等の第三者サイトから取得する経路でPickleリスクは残存する^[14]。

4. 実被害事例：Extension／カスタムノード経由のRCE

A1111／ComfyUIはExtension（カスタムスクリプト／カスタムノード）でロジックを差し込める設計のため、悪意ある拡張が侵害経路となる事例が報告されている。2024年6月、ComfyUIのカスタムノード「ComfyUI_LLMVISION」がCookie・パスワード・暗号通貨ウォレット情報をDiscord webhookに送信していたことが発覚し、リポジトリ削除に至った^[15]。同時期にA1111向け拡張でもpostinstallスクリプトに不審挙動が複数報告された^[16]。

暗号通貨マイナーの設置事例も観測される。Sysdig社レポートでは、未認証公開のAI推論基盤（Stable Diffusion／LLMサーバ含む）にXMRigが仕込まれMonero採掘が長期継続していた^[17]。社内でも深夜のGPU温度・電力消費だけが異常で「気づくまで3週間」というケースが散見される。

5. 公開インスタンスのリスク：Shodanで見える実態

Shodanで`title:”Stable Diffusion”`等を検索すると、世界で数千台規模のA1111／ComfyUIインスタンスがインターネット直結で晒されている^[18]。認証なしで`/sdapi/v1/txt2img`を叩けば任意プロンプト生成が可能、`/sdapi/v1/options`からモデルパス・出力先も露呈する。CVE-2024-21638が刺さればホストOSのファイル読み書きまで一直線だ^[1]。日本国内でも家庭回線・大学・企業セグメントを問わず公開ホストが存在し、多くはルーターUPnPやVPN誤設定による意図せぬ公開だ。Shodan／Censysでの自社IP帯の定期棚卸しが第一防衛線となる。

6. CISO・情シス向けチェックリスト

1. 棚卸し：社内GPUサーバ上のA1111／ComfyUI／InvokeAI／Forgeを、ネットワークスキャン（`7860/tcp`、`8188/tcp`）と資産台帳の両面で把握。
2. モデル経路：`.ckpt`／`.pt`の受け入れを原則禁止し`.safetensors`または社内署名済みモデルに限定^[13]。
3. Extension統制：拡張をホワイトリスト化。インストール時差分レビューをリーダー承認制に。
4. ネットワーク隔離：`–listen`／`–share`を禁止し、社内利用はリバースプロキシ＋SSO＋mTLS経由に限定^[18]。
5. 監査ログ：GPU使用率・電力・外向き通信（Discord webhook、未知IPへのHTTPS）を継続監視^[17]。

7. 打ち手：技術的・組織的対策

技術面では、（1）`weights_only=True`強制による`safetensors`専用ロード、（2）モデルのハッシュ検証＋社内Artifact Registry経由統一、（3）ExtensionをDocker／Firejailで権限分離、（4）GradioをTraefik＋OAuth2 Proxyで前段保護、の4点が即効性が高い。加えて（5）Falco／OSQueryでpython3からの不審子プロセス（curl／ssh-keygen等）を検知すればPickle由来RCEを早期に押さえられる。組織面では「画像生成基盤の構築は情シス承認制」「モデル取得元はホワイトリスト」「LAN公開時は認証必須」をAI利用ポリシーに明文化する。禁止ではなく「正しく使う道」を提示しないとシャドウ化は止まらない^[6]。

「社内のGPUサーバに勝手に立てられたStable Diffusion WebUIは、もはや画像生成ツールではなく、認証なしのリモートコード実行プラットフォームと考えるべきです。Pickleモデルを1つ読み込ませた瞬間に、ホスト全体が攻撃者の手に落ちる前提で監視・隔離設計をしてください」
―― 国内ペネトレーションテスト企業 シニアコンサルタント談^[19]

8. 結論：CISO・情シスが今すぐ取るべき3点

1. シャドウAI基盤の棚卸しを最優先化：A1111／ComfyUIの存在を資産台帳に載せ、社内ネットワークでのポートスキャンとShodanでの自社IP棚卸しを四半期に一度実施する。
2. モデルファイルの「出所と形式」を統制：`.ckpt`／`.pt`を原則禁止し、`.safetensors`＋社内ミラー＋ハッシュ検証を必須化。Extensionもホワイトリスト＋差分レビューで管理する。
3. 運用面でのRCE前提監視：Pickle由来のRCEは「起きる前提」で、外向き通信・GPU消費異常・python3からの不審子プロセスを継続監視。Cryptominer・情報窃取の早期検知体制を組む^[17]。

9. 経営者視点：シャドウAI基盤としての社内Stable Diffusion

経営層から見れば、Stable Diffusion WebUIの問題は単なる「画像生成サーバの脆弱性」ではない。本質は生成AIブームに乗じて社内に「未管理のRCEプラットフォーム」が量産されている構造リスクだ。デザイン・マーケ・研究各部門が「AI活用推進」の号令下、それぞれGPUを購入しA1111を立てる。情シスは把握できず、CISOのダッシュボードには載らない。これが「シャドウAI」の正体である^[6]。

未管理サーバから侵害が起きれば、影響はGPUマシン1台では済まない。ブラウザ残存の認証情報、`id_rsa`、`~/.aws/credentials`、SaaSセッションCookie、社内SMBマウント情報まで芋づる式に流出し、LAN内ラテラルムーブメントの足場として基幹システムまで届きうる。Gartnerは「2027年までに大企業の30%が生成AI関連シャドウインフラ起因の重大インシデントを経験する」と警告している^[20]。

CISOに求められるのは「禁止する経営」ではなく「正しく使う経営」だ。社内標準のStable Diffusion基盤（認証付き・モデル統制済み・ログ取得済み）を提供し、シャドウ化のインセンティブを断つ。これは情報セキュリティ予算ではなくAI活用基盤投資として計上するのが筋が良い。守りと攻めの両立――それが2026年CISOに突きつけられた論点である。

参考文献

1. NIST NVD, “CVE-2024-21638 — AUTOMATIC1111 stable-diffusion-webui Path Traversal”, 2024
2. NIST NVD, “CVE-2025-30359 — ComfyUI Authentication Bypass”, 2025
3. Python Software Foundation, “pickle — Python object serialization (Security warning)”, Python Documentation
4. AUTOMATIC1111, “stable-diffusion-webui”, GitHub
5. comfyanonymous, “ComfyUI”, GitHub
6. Gartner, “Predicts 2025: How Shadow AI Reshapes Enterprise Risk”, 2024
7. NIST NVD, “CVE-2024-3568 — huggingface/transformers RCE via from_pretrained”, 2024
8. NIST NVD, “CVE-2023-6730 — huggingface/transformers Deserialization Issue”, 2023
9. NIST NVD, “CVE-2024-34359 — llama-cpp-python Jinja2 SSTI”, 2024
10. NIST NVD, “Gradio Security Advisories (CVE-2023-51449 他)”, 2023-2024
11. HuggingFace Security Team, “Pickle Scanning on the Hub”, 2023
12. JFrog Security Research, “Malicious AI Models on Hugging Face”, 2024
13. HuggingFace, “safetensors”, GitHub
14. Trail of Bits, “Never a dill moment: Exploiting ML pickle files”, 2021
15. BleepingComputer, “ComfyUI_LLMVISION extension credential theft”, 2024
16. Reddit r/StableDiffusion, “Malicious extensions sticky threads”, 2024
17. Sysdig Threat Research Team, “LLMjacking & Cryptomining on Exposed AI Infrastructure”, 2024
18. Shodan, “Search results for Gradio / Stable Diffusion title”, Shodan.io
19. 国内ペネトレーションテスト企業ヒアリング, 2025年取材
20. Gartner, “Top Trends in Cybersecurity 2025 — GenAI Security Risks”, 2025
21. OWASP, “OWASP Top 10 for LLM Applications — LLM05: Supply Chain Vulnerabilities”, 2024