「AIが攻撃を補助する」段階は終わり、「AIが単独で侵入を遂行する」段階に入った——そう言わざるを得ない事案が記録された。セキュリティ企業Sysdigは2026年5月10日、人間の指示をほぼ介さずにLLM(大規模言語モデル)エージェントが侵入の全工程を自律的に実行した、世界初とされる事例を観測した。初期侵入からデータベース全件の持ち出しまで、わずか1時間あまり。本稿では、このAIエージェント攻撃が「なぜ重要なのか」、そして従来の防御が通用しない理由と、防御側が取るべき発想の転換を解説する。
概要
- 事案:公開報告として初の「自律型LLMエージェントによるサイバー攻撃」。Sysdigが2026年5月10日に観測・記録。
- 初期侵入:オープンソースのPythonノートブックMarimoのRCE脆弱性CVE-2026-39987を悪用。
- 遂行内容:人間の操作なしに、認証情報窃取 → AWS Secrets ManagerからSSH鍵取得 → 踏み台サーバー侵入 → PostgreSQL全件持ち出し、を1時間あまりで完遂。
- 本質:「参入障壁が技量(スキル)から推論コスト(インフェレンス予算)へ移った」。攻撃の規模を縛るのは攻撃者の腕前ではなく、AIに費やせる計算資源になりつつある。
何が起きたのか
2026年5月10日、Sysdigの脅威リサーチチームは、ある標的インフラに対する一連の侵入を記録した。攻撃者は未知の人物だが、操作の主体は人間ではなくLLMエージェント——大規模言語モデルが「アシスタント」や「副操縦士」としてではなく、侵入チェーン全体の自律的なオペレーターとして動いていた。
Sysdig脅威リサーチ責任者のMichael Clark氏は、Security Magazineのインタビュー(5月28日公開)でこう述べている。「この攻撃は、LLMが脅威アクターにますます複雑な作戦を可能にしていることを示している——単純で日和見的な攻撃にとどまらない」。そして「かつて高度に熟練したオペレーターを必要とした洗練された侵入ワークフローが、今やAIによって加速され、さらには駆動されるようになった」と。
これまでも「AIが攻撃を補助した」事例(フィッシング文面の生成、エクスプロイトの下書き、マルウェアスクリプトの作成)は報告されてきた。だが今回は質的に異なる。AIが状況を観察し、次の一手を自分で判断し、実行し、その結果を見てまた次を決める——この意思決定のループ全体を人間抜きで回した点が決定的に新しい。
技術的な解説
1時間で完遂した「4つのピボット」
攻撃は初期侵入後、4つの段階(ピボット=侵入の足場を次々に移す動き)で進んだ。
| 段階 | 内容 |
|---|---|
| 初期侵入 | Marimo(オープンソースPythonノートブック)のRCE脆弱性 CVE-2026-39987 を悪用して足場を獲得 |
| ピボット1:認証情報の収集 | 侵害したMarimoインスタンスの環境ファイルから、2つのクラウド認証情報を収集 |
| ピボット2:AWSシークレットの窃取 | 収集した認証情報を使い、AWS Secrets ManagerからSSH秘密鍵を取得 |
| ピボット3:踏み台サーバーへ | 下流の踏み台(bastion)サーバーに対し8本の並列SSHセッションを確立 |
| ピボット4:DB全件持ち出し | 内部のPostgreSQLデータベースの全内容を2分弱でダンプ・持ち出し |
全工程は1時間あまりで完了した。人間のオペレーターなら、各段階で調査・試行錯誤・手作業を挟むため、通常はもっと時間がかかる。
検知回避すら自動で組み込んでいた
特に注目すべきはピボット2だ。エージェントは盗んだ認証情報をそのまま使うのではなく、Cloudflare Workersのエッジノードの分散プールを経由させ、22秒間に11個の異なるIPアドレスから12回のAPI呼び出しを行ってSSH鍵を取得した。これは「同一送信元IPからの連続アクセス」を検知するルールを回避するための動きだ。検知回避をあらかじめスクリプトに書いておいたのではなく、エージェントが状況に応じて分散アクセスを組み立てている点に、自律性の高さが表れている。
「人間ではない」と分かった痕跡
Sysdigは、これが人間ではなくAIエージェントの仕業だと判断する複数の技術的痕跡を挙げている。
- 機械向けに整形されたコマンド:すべてのコマンドが、区切り文字付き・出力範囲を限定・標準エラー出力を破棄、という「機械が消費しやすい」形式で構造化されていた。
- 自己参照的なデータ連鎖:直前に読んだファイルからDBパスワードを抜き出し、直前のディレクトリ一覧からSSH鍵のパスを拾う——各ステップで前の出力を次に送り込む、機械的な連鎖。
- 並列実行:分散IPから8本のSSHセッションを協調的に同時起動。
- 未知スキーマの即時列挙:一度も見たことのないデータベースのスキーマを、その場で列挙して6テーブルのダンプを「即興で」組み立てた。事前知識なしのリアルタイム適応。
- 言語的痕跡:ライブのコマンドストリームに中国語の計画コメント「看还能做什么(他に何ができるか見てみよう)」が出現。人間のオペレーターというより、LLMの思考過程が漏れ出たような痕跡だった。
なぜこれが「ゲームチェンジャー」なのか
Clark氏が指摘する核心は、「参入障壁がもはや専門知識ではなく、推論予算(inference budget)になった」という点だ。
従来のスクリプト型攻撃者は、標的ごとに新しい攻撃手順(プレイブック)を作り込む必要があった。これには熟練が要る。一方、エージェント型の攻撃者は汎用的な知識を持ち、その場で攻撃を組み立てる。標的のスキーマを見たことがなくても、リアルタイムで理解して動く。つまり攻撃の規模を縛るのは「攻撃者の腕前」ではなく「AIに割ける計算資源」になる。資源を増やせば、同時に何千もの標的へ熟練オペレーター級の攻撃を仕掛けられる時代が来つつある。AIが書いたゼロデイエクスプロイトの事例と合わせ、攻撃の自動化が新たな段階に入ったことを示している。
日本企業への影響
この攻撃は特定の国・業種を狙ったものではなく、手法そのものが普遍的な脅威だ。日本企業にとっての含意は大きい。
- 攻撃の高速化で「対応の時間」が消える:侵入から情報持ち出しまで1時間。人間が異常に気づいてから動くのでは間に合わない。検知と対応の自動化が前提になる。
- 無差別・大量化:熟練を要しないため、知名度の低い中小企業も「AIが手当たり次第に攻める」対象になる。「うちは狙われない」は通用しない。
- クラウド設定の不備が即・致命傷に:今回は環境ファイルに残った認証情報とAWS Secrets Managerが連鎖の鍵だった。クラウド上の認証情報管理の甘さは、AIエージェントに高速で突かれる。
- オープンソースツールの脆弱性:初期侵入はMarimoというニッチなOSSツールのRCEだった。社内で使う小さなツール・ノートブック環境も攻撃の入口になる。
今すぐ確認すべきポイント
1. シグネチャ型から「振る舞い検知」へ転換する
Sysdigが強調する最重要の教訓がこれだ。AIエージェントは毎回異なる新しいコマンドパターンを生成するため、既知のパターンを照合するシグネチャ型検知は回避される。防御側は、特定のコマンド列ではなく攻撃の「目的」——認証情報の読み取り、シークレットの列挙、権限昇格、データ持ち出し——という振る舞いそのものを検知対象にする必要がある。手段は無限に変わっても、目的は変わらないからだ。
2. クラウド認証情報を環境ファイルに残さない
連鎖の起点は環境ファイル(.env等)に残った認証情報だった。次を徹底する。
- 長期の静的な認証情報を排し、短命の一時クレデンシャル(IAMロール・STS)に移行する
- 環境ファイルやコードに鍵を直書きしない。シークレット管理の基本を守り、定期的にローテーションする
- Secrets Managerへのアクセスに最小権限を適用し、想定外のサービス/IPからのアクセスを監視する
3. インターネット公開のツール・ノートブックを点検する
Marimoのような開発系ツール(Jupyter、各種ノートブック、社内管理ツール)がインターネットに露出していないか確認する。CVE-2026-39987を含め、利用中のOSSツールを最新版へ更新し、不要な公開を止める。
4. 高速・並列・自動化された攻撃の兆候を捉える
AIエージェント特有の挙動を検知ルールに組み込む。
- 短時間での多数IP・多数APIコール(今回は22秒で11IP・12コール)——異常な速度と分散
- 並列の多数SSHセッション確立
- 認証情報の読み取り直後に別サービスへ即アクセスする「連鎖」パターン
- Secrets Manager・DBダンプなど、目的に直結する操作の急増
5. 自動封じ込めを準備する
人手での対応では1時間の攻撃に追いつけない。EDR/CDRの自動隔離、異常時の認証情報自動失効、セッション強制終了など、機械の速度に機械で対抗する仕組みを整える。検知後はインシデント対応手順に沿って、漏えい範囲の特定と認証情報の全面ローテーションを行う。
参考情報
- Sysdig: 自律型LLMエージェントによる侵入の観測レポート(2026年5月10日)
- Security Magazine: Michael Clark(Sysdig 脅威リサーチ責任者)インタビュー(2026年5月28日)
- NVD / 開発元アドバイザリ: Marimo RCE 脆弱性 CVE-2026-39987