OpenAI Assistants APIを悪用する「SesameOp」事件から学ぶ防御線

これは何の話？ — 事実

Microsoftのインシデント対応チームは2025年11月3日、OpenAI Assistants APIをコマンド&コントロール経路に悪用する「SesameOp」バックドアを確認したと公表しました。攻撃者は企業ネットワークへ侵入した後、改ざんしたVisual StudioユーティリティからDLLを読み込み、OpenAI APIを介して暗号化した命令を受信・実行していました。数カ月にわたり潜伏し、API経由で取得した結果を攻撃者へ返送する仕組みまで整えられていたと報告されています。一行図解：感染ホスト →（OpenAI Assistants APIで指令を受信）→ 結果をAPI経由で送信。[1]

何がわかったか — 事実

バックドアは「Netapi64.dll」というローダーと「OpenAIAgent.Netapi64」という.NET製本体で構成され、Assistants APIのメッセージ欄に暗号化したコマンドを埋め込んでいました。指示には「SLEEP（待機）」「Payload（処理実行）」「Result（結果報告）」といったタグがあり、命令の配送と実行ログ送信をOpenAI側で仲介させていたとのことです。MicrosoftはOpenAIに共有した結果、攻撃に使われたAPIキーとアカウントは停止されましたが、同様の手口が再利用される恐れがあると警告しています。[1]

他とどう違うのか — 比較

過去にもクラウドサービスをC2に使う事例はありましたが、商用の生成AI APIを中継に使う点が際立っています。独立系の追加調査では、API通信が正規のLLM呼び出しに見えるため、従来のネットワーク検知では気付きにくいと指摘されました。AI APIの急速な普及が、防御側の監視ギャップを突かれる新しい面を示しています。[2]

なぜこれが重要か — So What?

生成AI APIは多くの企業が開発に使っており、通信を遮断しづらい「信頼済みチャネル」です。攻撃者がここに潜伏すると、従来のブラックリストやプロキシ制限をすり抜け、権限昇格や情報窃取を継続できます。API利用が常態化した以上、キー監視・リクエスト分析・人の最終承認をセットで設計しなければ、防御側は盲点を突かれ続けます。[2]

未来の展開・戦略性 — 展望

OpenAIはAssistants APIを2026年に廃止しResponses APIへ移行予定ですが、攻撃者は新チャネルへも適応すると見られます。クラウドベンダーと企業の双方が、APIの利用用途をホワイトリスト化し、逸脱があれば自動で停止するワークフローを構築する必要があります。今回の事例を契機に、AI APIの利用監査やゼロトラスト的な再認証が標準化する可能性があります。[1]

どう考え、どう動くか — 見解

例：社内でAssistants APIを使うサービスごとにAPIキーを分割し、使用量・宛先・レスポンスサイズを監視すれば、不審な連続呼び出しを機械的に遮断できます。

APIキーは用途ごとに紐づけ、IAMで最小権限を設定し、定期的なキーのローテーションを徹底する。
Assistants APIやResponses APIの通信ログをSIEMへ集約し、メッセージ本文のサイズや頻度に異常値アラートを設ける。
開発者向けツールに改ざん検知を組み込み、配布するバイナリに署名確認を義務付ける。
次の一歩：
・今日やること：生成AI APIの利用状況を一覧化し、キー管理の責任者とローテーション周期を確認する。
・今週やること：APIログの保存期間と監査手順を文書化し、SIEMアラートの閾値を試験的に設定する。

限界と未確定 — 事実

影響を受けた組織名や被害規模は公開されておらず、具体的な侵害範囲は不明です。[1]
攻撃者の所属や目的は特定されておらず、再発メカニズムの全容も調査段階です。[2]

用語ミニ解説

攻撃者がリモートで命令を送るための通信経路を指します。（コマンド&コントロール / command and control）
改ざんしたDLLを正規アプリの起動時に読み込ませる持続化手法です。（AppDomainManager注入 / AppDomainManager injection）

出典と日付

[1] The Hacker News（公開日：2025-11-03／最終確認日：2025-11-04）：https://thehackernews.com/2025/11/microsoft-detects-sesameop-backdoor.html
[2] Cyberwarzone（公開日：2025-11-04／最終確認日：2025-11-04）：https://cyberwarzone.com/2025/11/04/microsoft-discloses-sesameop-backdoor-abusing-openai-api-for-stealthy-command-and-control/
※情報は[1]の技術報告と[2]の追加解説を突き合わせて確認しました。

これは何の話？ — 事実

何がわかったか — 事実

他とどう違うのか — 比較

なぜこれが重要か — So What?

未来の展開・戦略性 — 展望

どう考え、どう動くか — 見解

APIキーは用途ごとに紐づけ、IAMで最小権限を設定し、定期的なキーのローテーションを徹底する。
Assistants APIやResponses APIの通信ログをSIEMへ集約し、メッセージ本文のサイズや頻度に異常値アラートを設ける。
開発者向けツールに改ざん検知を組み込み、配布するバイナリに署名確認を義務付ける。
次の一歩：
・今日やること：生成AI APIの利用状況を一覧化し、キー管理の責任者とローテーション周期を確認する。
・今週やること：APIログの保存期間と監査手順を文書化し、SIEMアラートの閾値を試験的に設定する。

限界と未確定 — 事実

影響を受けた組織名や被害規模は公開されておらず、具体的な侵害範囲は不明です。[1]
攻撃者の所属や目的は特定されておらず、再発メカニズムの全容も調査段階です。[2]

これは何の話？ — 事実

何がわかったか — 事実

他とどう違うのか — 比較

なぜこれが重要か — So What?

未来の展開・戦略性 — 展望

どう考え、どう動くか — 見解

限界と未確定 — 事実

用語ミニ解説

出典と日付

関連ツール

関連メモで深掘り

次に読む

OpenAI Assistants APIを悪用する「SesameOp」事件から学ぶ防御線

これは何の話？ — 事実

何がわかったか — 事実

他とどう違うのか — 比較

なぜこれが重要か — So What?

未来の展開・戦略性 — 展望

どう考え、どう動くか — 見解

限界と未確定 — 事実

用語ミニ解説

出典と日付

関連ツール

関連メモで深掘り

次に読む