TokyoBlackHatNews

meterpreter.org 5分で読了

アルゴリズム侵入者の台頭:AIを駆使したMarimoサーバへの攻撃

侵害と実行のライフサイクル

攻撃者は人工知能エージェントを武器として活用し、高度なサイバー攻撃を巧みに仕掛けました。具体的には、公開状態のMarimoコンピューテーションサーバを標的にしました。Sysdigの調査によると、侵害はCVE-2026-39987の悪用を起点として始まり、その後、迅速かつ多段階の攻撃チェーンへと発展しました。

この自律型エンティティはクラウド認証情報を組織的に収集し、AWS Secrets Managerへの問い合わせを実行しました。その結果、内部踏み台ホストへの侵入に使用するプライベートSSHキーを取得しました。このブリッジを経由して、エージェントは中核となる内部データベースの窃取に成功しました。

脆弱性の詳細とタイムライン

Marimoは開発者向けのインタラクティブなコンピューティングノートブック環境です。CVE-2026-39987として識別されるこの脆弱性は、認証なしにリモートでシステムコマンドを実行できるため、特に深刻です。この致命的な欠陥はバージョン0.20.4以前のすべてのバージョンに影響します。開発チームはバージョン0.23.0で正式なパッチをリリースしました。この公開開示を受け、脅威アクターはパッチ未適用の環境をただちに標的にし始めました。研究者たちは、脆弱性のある標的に対する積極的な偵察と大規模な認証情報の収集を素早く確認しました。

インシデントの経緯

Sysdigが記録したこの侵害は2026年5月10日に発生しました。公開されていたMarimoインスタンスへの侵入直後、攻撃者は2つのクラウド設定シークレットを抽出しました。次に、盗んだAWSキーを使ってAWS Secrets Managerに問い合わせを行い、特権を持つプライベートSSHキーをスムーズに取得しました。

数分以内に、脅威アクターはこの暗号トークンを使ってSSH踏み台ホストへのアクセスに成功しました。管理者はこのような中間サーバを通常、隔離された内部環境への接続ブリッジとして運用しています。その後、攻撃者はセカンダリサーバへの短時間のSSHセッションを8回開始しました。エージェントは内部PostgreSQLデータベースの構造スキーマとコンテンツをすべて抽出しました。注目すべきことに、このデータベース抽出にかかった時間は2分未満でした。最終的に、攻撃全体のライフサイクルは1時間強で完結しました。

適応型エージェントの解剖

このインシデントの本質は、最初のサーバ侵害にあるのではありません。むしろ、その後のポスト侵害行動こそが、深刻なパラダイムシフトを示しています。Sysdigは、適応型AIエージェントがこれらの後続操作を実行したと主張しています。アナリストは、自動化された計画とリアルタイムの環境適応を裏付ける4つの独自の行動マーカーを特定しました。

自律性の現れ

  • 動的なデータベースナビゲーション:侵入者は事前定義された構造スキーマやアプリケーション設定プランを持っていませんでした。それにもかかわらず、攻撃チェーンはプライマリ認証情報テーブルへと直接到達しました。エージェントは環境の手がかりを動的に分析して、次の操作ステップを決定しました。
  • 内部思考の漏洩:内部の推論フラグメントが誤ってアクティブなコマンドストリームに直接漏洩しました。具体的には、Sysdigが「他に何ができるか見てみましょう」という意味の中国語フレーズを発見しました。この漏洩したアーティファクトは、標準的なスクリプトコマンドではなく、LLMのチェーンオブソート命令を表しています。
  • 機械最適化されたコマンド構造:エージェントは効率的な自動解析のために特化したコマンド構造を組み立てました。たとえば、個別のデータブロックを区切るために独自のマーカーを使用しました。さらに、出力量を制限し、ターミナルのページネーションを無効化し、エラーストリームを抑制することで構造的なノイズを排除しました。
  • コンテキスト出力の受け渡し:このアーキテクチャは、発見したデータポイントを連続する操作フェーズ間で体系的に引き渡しました。たとえば、エージェントはSSHキーファイルの内容を表示する前に、その存在を確認しました。同様に、PostgreSQLのパラメータを抽出して後続のデータベースクエリに自動的に入力しました。この動作は、システムが自身の過去の出力を評価して将来のリクエストを構築していることを示しています。

防御への影響と対策

この事例は、現代のセキュリティチームに深刻な課題を突きつけています。従来の事前記述されたスクリプトとは異なり、AIエージェントは固定的な事前定義の命令セットを必要としません。標準的な悪意あるスクリプトは、予期しないファイルパスや変更されたデータベーススキーマに遭遇すると通常は失敗します。一方、インテリジェントエージェントはこのような不一致を特定し、代替経路を見つけ、攻撃を継続します。このパラダイムの下では、主な制約はスクリプトの手動開発からモデルのコンピューティングコストへと移行します。

推奨される対策

管理者はインフラを保護するために、即座に防御的な更新を実施する必要があります。

対象カテゴリ 必要なセキュリティ対策
ソフトウェアインフラ Marimoの導入環境を最新のパッチ適用バージョンに直ちに更新してください。
ネットワーク境界 インタラクティブなノートブックインスタンスが公開インターネットに面していないことを確認するため、環境を監査してください。
シークレット管理 ホスト上に存在するすべてのAWS認証情報、APIトークン、SSHキーを無効化してローテーションしてください。

最終的に、セキュリティチームは侵害されたサーバからアクセス可能なすべての暗号認証情報を、完全に漏洩したものとして扱わなければなりません。

翻訳元: https://meterpreter.org/marimo-cve-2026-39987-exploit/

ソース: meterpreter.org
#AIエージェント #AWS認証情報窃取 #CVE-2026-39987 #LLM #Marimoサーバ #PostgreSQL #SSHキー #クラウドセキュリティ #サイバー攻撃 #脆弱性悪用

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす