Bleeding Llama (Ollama CVE-2026-7482) — ローカル LLM が漏らす業務プロンプトの正体

Bleeding Llama — CVE-2026-7482 leaks system prompts from local Ollama instances
Photo: Pexels (free stock)

2026 年 5 月、ローカル LLM 実行環境として急速に普及している Ollama に、未認証の遠隔攻撃者がサーバープロセスのメモリを丸ごと読み出せる重大脆弱性が公開された。識別子は CVE-2026-7482、CVSS 9.1(Critical)、コードネームは「Bleeding Llama」。世界中で 30 万台超の Ollama サーバーに影響すると見られている。HeartBleed の AI 版というべき位置づけで、企業がローカル LLM を社内運用する際のリスクが一気に顕在化した。

概要

  • 識別子:CVE-2026-7482(通称 Bleeding Llama)
  • CVSS v3.1:9.1(Critical)
  • 脆弱性種別:Out-of-Bounds Read(CWE-125)
  • 影響範囲:Ollama の HTTP API を有効にしている全インスタンス(世界 30 万台超と推定)
  • 修正:Ollama 公式リリースの最新パッチバージョンへの更新
  • 悪用観測:PoC が GitHub で広く流通、スキャンが急増

技術的な詳細

脆弱性のメカニズム

Ollama は内部で C 言語ベースの推論ライブラリ(llama.cpp ベース)を呼び出す。HTTP API のリクエストパース処理において、特定のフィールドの長さフィールドと実データ長の不整合をチェックしていない経路があり、攻撃者がヘッダーで偽の長さ値を指定すると、本来読むべきバッファの境界を越えてメモリを読み出してしまう。読み出されたメモリには、直前に処理した別ユーザーのプロンプト、ロード中のモデルパラメータ、HTTP セッショントークンが含まれる可能性がある。

HeartBleed(CVE-2014-0160)に似た構造で、命名「Bleeding Llama」もそれに倣ったものだ。違いは、HeartBleed が TLS セッションのメモリを漏らしたのに対し、Bleeding Llama は LLM 推論プロセスのメモリ(=AI が直前に処理していた業務プロンプトと応答)を漏らす点にある。情報漏えいの質が、サービス認証情報から業務機密へと深刻化している。

攻撃ベクター

  • Ollama の HTTP API(デフォルト TCP 11434)に対して細工された POST リクエストを送付
  • 応答のメモリダンプから、直前に処理された別セッションのプロンプト・応答を抽出
  • 繰り返しリクエストを送ることで、メモリ全体を 1KB ずつスキャンすることが可能
  • API キー、モデルファイルパス、システムプロンプトが横展開の起点になる

影響範囲

  • Ollama を社内 LLM ゲートウェイとして運用する全企業
  • 研究開発部門で個人が立ち上げた Ollama インスタンス(影の Ollama)
  • クラウド上の VPS / EC2 等で自社管理する Ollama サーバー
  • 30 万台超が現時点でインターネットに直接公開されているとの調査結果

検知のヒント

  • Ollama サーバーへの異常に長い length ヘッダーを含むリクエストを WAF / プロキシで監視
  • 短時間に繰り返される small payload なリクエストパターン
  • Ollama プロセスの異常なメモリ読み出しを EDR で監視

推奨される技術的対応

  • 即時:Ollama 公式最新版へアップグレード
  • 必須:Ollama API は決してインターネット直接公開しない。リバースプロキシ + 認証 + 社内 IP 制限で守る
  • 事後:過去のアクセスログを 90 日遡って、不審な API リクエストの有無を確認。発見された場合、当該期間に処理された全プロンプト内容を漏えい想定として取り扱う
  • 恒久:マルチテナント運用は避け、ユーザー単位でプロセスを分離する

非エンジニア向け — 経営・管理部門に向けた解説

何が問題か(1 分で)

自社内に立てた AI チャットツール「Ollama」のサーバーに、外部から鍵なしで「他の社員が AI に投げたチャット内容」を覗き見できる穴があります。覗かれるのは、社員が業務で AI に投げた相談内容そのもの — 顧客名、契約情報、人事評価、財務数値、戦略文書など、本来社外秘の業務情報がそのまま漏れる可能性があります。世界で 30 万台超が影響を受けると報告されています。

自社への影響を判断する

  • 自社で「Ollama」というツール、または「ローカル LLM 環境」を構築しているかを情シス・研究開発部門に確認
  • 「ChatGPT は社外送信が怖いから、社内で動かしている」という運用があれば、それが Ollama である可能性が高い
  • 部門・個人レベルで立てた「影の Ollama」が存在する可能性も棚卸し

IT 部門に確認すべき 3 つの質問

  • 「当社で稼働中の Ollama または同等のローカル LLM サーバーは何台ありますか」
  • 「Ollama API は社外からアクセス可能になっていますか。アクセス可能な場合、Bleeding Llama 対策のアップデート状況を教えてください」
  • 「過去 90 日の API アクセスログを調査し、情報漏えいの痕跡が無いか確認してください」

経営判断のポイント

  • 「クラウド AI は危ないからローカルで動かす」という方針が、別の経路で同等以上の漏えいリスクを生んでいる事例。「ローカル=安全」という前提を見直す
  • 本件で漏えいするのは「社員が AI に投げた業務文章そのもの」。クラウド AI サービスの利用規約以上に深刻な情報漏えいになる
  • 社内の「影の AI 環境」を棚卸しし、組織的な管理下に置く運用が必要。研究開発部門・先進的なチームに個別ヒアリングを実施

出典・関連リンク

本記事は公開情報に基づき Omamori AI 編集部が執筆しました。実際の対応にあたっては、Ollama 公式アドバイザリおよび JPCERT/CC・CISA 等の公的勧告を必ず確認してください。

SHARE 𝕏 in f

あわせて読みたい