ComfyUIのセキュリティリスク：GHOSTボットネットが日本の未認証AI環境を標的に

Md. Azim Uddn - ユニットゼロ、パイプライン脅威インテリジェンスチーム

エグゼクティブサマリー

• Unit Zero Threat Intelligenceは、インターネットに公開されているComfyUIサーバーを組織的に標的とする攻撃キャンペーンを追跡しており、このキャンペーンは2026年4月7日にCensys ARCによって正式に公表されました。日本国内では21件の事例が確認されています。

• 攻撃者は、GPUを豊富に搭載したAI画像生成インフラを、二重目的の犯罪資産へと転換している。具体的には、MoneroやConfluxといった暗号通貨のマイニングリグ、そしてHysteria v2プロキシボットネットの出口ノードなどが転売目的で利用可能となっている。

• 近年、日本におけるAIの導入は著しく加速している。ComfyUIは、クリエイティブスタジオ、研究機関、そして個人事業主など、幅広い層に導入されており、その多くは認証なしでインスタンスを運用している。

  このブログでは、日本のエコシステムで活動する防御担当者向けに、日本特有の脅威評価、技術的な分析、および実行可能な対策ガイダンスを提供します。

GHOSTボットネットとは

Unit Zeroは、Censysのインターネット全体スキャンデータを用いて、日本のIPアドレスが紐づけられた、一般にアクセス可能なComfyUIインスタンスを21件特定した。この数は、世界全体で1,000件以上存在する公開インスタンス数に比べれば少ないように見えるかもしれないが、日本地域におけるセキュリティ対策担当者にとっては、その背景を理解することが重要となる。

なぜ日本のComfyUIが標的になるのか

・日本のAI開発者は、ハイエンドのNVIDIA GPUサーバー（A100、H100、RTX 4090クラスのハードウェア）にComfyUIを導入することが多い。これはまさに、最高の暗号通貨マイニングハッシュレートを生成するハードウェアである。

・日本の企業におけるAI導入文化は、特にクリエイティブ産業において、セキュリティ強化よりもアクセスの容易さを優先する傾向がある。小規模なスタジオや研究機関では、認証不要の公開ポートが一般的である。

• GHOSTスキャナの厳選されたIPアドレス範囲リストは、AWS東京（ap-northeast-1）、GCPアジア北東1、およびOracle Cloud Japanリージョンのクラウドデプロイメントを積極的にターゲットにしています。

・侵害された日本のクラウドGPUインスタンスは、標準的なCPUサーバーよりも単位時間あたりに生成できるモネロの量がはるかに多く、日本のAIインフラは非常に魅力的です。

・日本のプロキシ出口ノードは、日本の高帯域幅インフラと、多くの地域制限を回避できる評判の良い「クリーン」なIP空間のおかげで、アンダーグラウンド市場で高い転売価値を持っています。

特定された21の日本のインスタンスのうち、一部にはComfyUI-Managerがインストールされている可能性が高く（これにより、スキャナーの悪意のあるパッケージのサイレントインストール経路が有効になる）、少なくとも一部はFL_CodeNodeやSrlEvalなどの危険な実行可能なコンポーネントを含むカスタムノードを実行していると予想されます。Unit Zeroは、これら21のインスタンスのすべての運用者に対し、完全なフォレンジック調査が完了するまで、自身が侵害されている可能性があるものとして扱うことを強く推奨します。

攻撃の仕組み（Attack Chain）

C2インフラストラクチャとデュアル収益化モデル

このキャンペーンの高度な運用は、中央集権的に管理されたコマンド＆コントロールインフラストラクチャに最も顕著に表れています。ポート3301で動作するFlaskベースのC2ダッシュボードは、侵害された各ホストにホスト名から派生した一意の識別子（形式：vm）を割り当てます。

Hysteria v2プロキシ群も、同じC2パネルによって運用されています。侵害された各ノードは、C2にHysteria URIを登録し、オペレーターが機能するプロキシ出口ノードのリストを一括エクスポートできるようにしています。これは、日本やその他の高価値IPアドレス範囲を使用して、住宅用レベルのプロキシアクセスを販売するという副業を示唆しています。マイニングとプロキシの2つのコンポーネントは同じC2認証情報とURLを共有しており、単一のオペレーターが両方の収益源を管理していることを示しています。

侵害の兆候（IOC）

日本の事業者向け検出ガイダンス

対策とセキュリティ強化方法

緊急時の対応（ComfyUIをご利用の場合）

1. COMFYUIをインターネットに直接公開するのをやめてください。VPNまたは認証付きリバースプロキシ（nginx + HTTP Basic認証 + TLSが最低限必要。Cloudflare Accessが推奨）の背後に配置してください。このたった一つの対策で、攻撃対象領域全体を排除できます。

2. custom_nodes/ の監査を直ちに実施し、明示的にインストールしていないパッケージ、特に ComfyUI-Shell-Executor およびすべての「GPU Performance Monitor」ノードを削除してください。

3. ユーザーデータやワークフローを確認し、自分が作成していない起動ワークフローがないか確認してください。悪意のあるデフォルトワークフローは、再起動のたびにエクスプロイトを実行します。

4. /etc/ld.so.preload および /etc/environment ファイル内の LD_PRELOAD エントリを確認してください。ここに予期しないライブラリが存在する場合は、ルートキットの存在を示す確実な兆候です。

5. ロックされたファイルをスキャンします: lsattr -R /var/tmp/ ~/.cache/ — 予期しない 'i' (不変) フラグは、GHOST マルウェアのアーティファクトを示します。

6. カーネルのような名前で16進数の接尾辞を含むプロセス（例：kworker[0:1-a3f1]）をすべて強制終了して削除します。

7. ComfyUIサーバーに関連付けられているすべての認証情報をローテーションしてください。SSHキー、クラウドAPIキー、および環境変数に含まれるすべての秘密情報は、漏洩の危険性があるものとみなしてください。

8. ComfyUIのプロセスユーザーにrootアクセス権限が付与されている場合は、システム全体が侵害されたと想定し、検証済みのイメージからクリーンな再構築を実行してください。

日本企業が今すぐ対応すべきこと

• 認証なしで 0.0.0.0 に ComfyUI を公開しないでください。127.0.0.1 にバインドし、認証付きのリバースプロキシを使用してください。

• 本番環境では、ComfyUI-Managerのリモートインストール機能を無効化または制限してください。

• 生のPython実行を受け入れる危険なカスタムノード（FL_CodeNode、SrlEvalなど）を削除するか、サンドボックス化する。

• ComfyUIを、最小限のファイルシステム権限を持つ専用の非rootサービスユーザーとして実行してください。

• ネットワークレベルの監視を展開します。ポート3333/TCP（マイニング）への予期しない送信トラフィック、または異常なKryptex/XMRigプロセス名に対してアラートを発します。

• 上記のクエリを使用して定期的に自己スキャンを実行し、ComfyUIインスタンスが外部からアクセスできないことを確認してください。

• 日本でAWS、GCP、またはOracle Cloudを使用している場合は、セキュリティグループとVPCファイアウォールルールを確認し、ポート8188が0.0.0.0/0から許可されていないことを確認してください。

ユニットゼロの視点からのアナリスト解説

今回のキャンペーンは、AIインフラストラクチャを標的とする攻撃手法における重要な進化を示すものです。従来、仮想通貨マイニングボットネットは、セキュリティ対策が不十分なWebサーバー、公開されているDocker API、または設定ミスのあるクラウドストレージを標的としていました。GPUアクセラレーション対応のAIプラットフォームへの移行は、2025年から2026年にかけて高付加価値コンピューティングがどこへ移行したのかという、成熟した理解を反映しています。

日本の脅威状況における位置づけは複雑だ。特にクリエイティブ産業や研究開発環境において、企業におけるAIの急速な導入が進んだ結果、運用担当者が従来のセキュリティ上の意味での「サーバー」とは概念的に捉えていない、脆弱なインフラストラクチャが生み出されている。ComfyUIは、強化が必要な本番環境向けサービスではなく、「クリエイティブツール」として認識されることが多い。この認識のギャップこそが、実際に悪用されている脆弱性なのである。

マイニングとプロキシ再販という二重収益モデルは、ますます高度化する運用計画を示している。日本のIPアドレスを持つプロキシ出口ノードは、アンダーグラウンド市場で高値で取引されている。日本のIPアドレス範囲は、日本の政府ポータル、金融機関、地域ストリーミングサービスなど、国別アクセス制限を行うサービスをターゲットとする事業者にとって頻繁に必要とされる。日本のIPアクセスを大量販売できる事業者は、マイニング事業よりも長く続く、持続的な収益源を構築していることになる。

Censysがツール群を「急ごしらえ」と評価したからといって、脅威の優先度を下げるべきではない。この攻撃キャンペーンの有効性は高度な技術に依存するものではなく、対策を講じていない膨大な数の不適切な設定の標的に依存している。現在、21の日本のインスタンスが露出していることが確認されており、ComfyUIのユーザーコミュニティは日本で急速に拡大していることを考えると、コミュニティが明確で分かりやすいセキュリティ強化ガイダンスを受け取らない限り、この攻撃対象領域は拡大し続けるだろう。

MITRE ATT&CKマッピング

参照

• Censys ARC — Mark Ellzey。「ComfyUIサーバーが仮想通貨マイニングプロキシボットネットに転用されている」。2026年4月7日。

• Hacker News。「1,000を超えるComfyUIインスタンスが仮想通貨マイニングボットネット攻撃の標的に」。2026年4月7日。

• GBHackers。「ComfyUIサーバーが仮想通貨マイニングとプロキシボットネット運用のために乗っ取られた。」2026年4月8日。

• Snyk Security。「ComfyUIカスタムノードのリモートコード実行に関する調査」。2024年12月。

• Pulsedive脅威インテリジェンス。「ボットネット活動レポート 2025年上半期/下半期」。

• MITRE ATT&CK フレームワーク v15。 https://アタック.mitre.org

概要：推奨される対策と緊急対応

このGHOSTキャンペーンの重要な特徴は、従来の「サーバー」ではなく、AI環境を直接標的としている点です。特に日本では、利便性を理由に多くのシステムがオンラインで公開されており、攻撃者にとって「高性能でありながら保護されていない資産」として非常に魅力的なものとなっています。

したがって、個別の対策を実施するよりも、運用上の前提を再評価することが極めて重要です。

PIPELINEができること

このような場合、単発的な対策だけでは十分ではありません。

継続的な「可視性」を確保するための仕組みが不可欠である。

PIPELINE Inc.は以下のサポートを提供できます。

① 外部に露出した資産の可視化

自社のドメインとIPアドレスがインターネット上でどのように表示されるかを継続的に監視する

意図しない露出の早期検出（ComfyUIを含む）

② リスクに基づく優先順位付け

GPUサーバーやクラウド環境などの「高リスク資産」を特定する

どこから始めるべきかを明確にする

③継続的な監視とアラート

不審なポート露出、ネットワークトラフィック、および構成変更を定期的にチェックする

インシデント発生前の段階での検出を支援する

④ 実際の作戦に合わせた対策を設計する

「現場で使いやすい構成」を前提としたセキュリティ設計

利便性と安全性のバランスをとった改善案

→　こちらから視聴可能です

さいごに

AI環境はしばしば「ツール」として紹介されますが、

外部に公開された瞬間から、それらはサーバーと全く同じリスクを伴う資産となる。

最近のGHOSTキャンペーンは、こうした認識のギャップを悪用した攻撃の典型的な例である。

まず、貴社のAI環境が外部からどのように見えるかを確認することから始めてください。

ここまでお読みいただき、ありがとうございました。

私たちPIPELINE株式会社は、私たちは、サイバーセキュリティと脅威情報（Threat Intelligence）を専門とする専門家集団として、

日々、現場でお客様とともに脅威に向き合っています。

「社内に専門チームがあっても、リソースが足りない」「どこから手をつけたら良いか分からない」「攻撃される前提で現実的に備えたい」

といったご相談は少なくありません。会社の規模に関係なく、守りが弱い部分を狙われやすいというのが今の状況です。

そして、社内だけで抱え込むことで、どうしても見落としが生まれやすくなります。

だからこそ、私たちは理想論ではなく、現場で役立つ方法に絞り、スモールスタートで手軽に始められる形をご提案しています。「できる範囲の一歩」でも、安全性は大きく変わります。

少しでも不安があれば、どうぞお気軽にご相談ください。最短でセキュリティ強化に繋げる方法を共に整えていきましょう。