Amazon S3侵害から「わずか8分」――LLMによる自動化で“AWS管理者権限”を奪取：Sysdigが分析、その攻撃工程とは

Sysdigは、LLMを活用してAWS環境への侵入を自動化する攻撃を観測した。攻撃者は約8分で管理者権限を奪取し、19個のAWSプリンシパルを横断的に侵害した。

[＠IT]

　クラウドセキュリティベンダーSysdigの脅威リサーチチーム（TRT）は2026年2月3日（米国時間、以下同）、クラウドサービス群「Amazon Web Services」（AWS）の環境を標的としたクラウド攻撃の分析結果を公開した。

　2025年11月28日に観測されたこの攻撃では、攻撃者が大規模言語モデル（LLM）を活用して偵察、悪意あるコードの生成、リアルタイムの意思決定を自動化し、初期侵入から管理者権限の獲得までわずか10分未満で達成していたという。

AI支援により、わずか8分で管理者権限の奪取に至る攻撃が確認された（提供：Sysdig）

公開「Amazon S3」バケットから認証情報を窃取

　攻撃者は、公開されていたクラウドオブジェクトストレージ「Amazon S3」（Amazon Simple Storage Service）バケットから有効なテスト用認証情報を窃取して侵入を開始した。これらのバケットにはAI（人工知能）モデル向けのRAG（検索拡張生成）用データが含まれており、侵害された認証情報は、サーバレスコンピューティングサービス「AWS Lambda」と生成AIサービス「Amazon Bedrock」への権限を持つIAM（IDおよびアクセス管理）ユーザーのものだった。

　攻撃対象のAmazon S3バケットには一般的なAIツールの命名規則に従った名前が付けられており、攻撃者は偵察段階でこうした名称を重点的に検索していたとみられる。

Lambda関数へのコードインジェクションで権限昇格

　続いて攻撃者は、侵害したユーザーが持つUpdateFunctionCodeおよびUpdateFunctionConfiguration権限を悪用し、Lambda関数へのコードインジェクションによる権限昇格を実行した。既存のLambda関数「EC2-init」のコードを3回にわたって書き換え、最終的に管理者権限を持つIAMユーザー「frick」の認証情報を作成することに成功した。

　注入されたコードにはセルビア語のコメントが含まれており、例外処理の網羅性とコードの作成速度から、LLMによる自動生成が強く示唆される。Sysdigは、攻撃者が偵察から認証情報の窃取、管理者権限の確立までを含めてわずか8分で完了した点を問題視している。

今回観測された攻撃のタイムライン。侵入から永続性の確立、リソース悪用までの流れ（提供：Sysdig）

19個のプリンシパルを横断する水平移動

　攻撃者は6つのIAMロールを14の異なるセッションで引き受け、5つのIAMユーザーへのアクセスを獲得した。結果として、合計19個のユニークなAWSプリンシパル（アイデンティティー）が侵害された。

　このように、権限を分散させることで、検知や追跡を困難にするとともに、1つのプリンシパルへのアクセスを維持するだけで被害者環境への永続的な侵入が可能となる。

　さらに、攻撃者は新たなユーザー「backdoor-admin」を作成し、AdministratorAccessポリシーを付与した。ロール引き受け時のセッション名には「explore」「test」「pwned」「escalation」など、各段階での意図を反映した名前が使用されており、「claude-session」というセッション名も観測された。

Amazon Bedrockを悪用したLLM攻撃

　攻撃者はAmazon Bedrockのモデル呼び出しログが無効であることを確認した後、以下の生成AIモデルを呼び出した。

• Claude Sonnet 4
• Claude Opus 4
• Claude 3.5 Sonnet
• Claude 3 Haiku
• DeepSeek R1
• Llama 4 Scout
• Amazon Nova Premier
• Amazon Titan Image Generator
• Cohere Embed v3

　攻撃者は、被害者のAmazon S3バケットにインフラ自動化ツール「Terraform」モジュールをアップロードし、Amazon Bedrock認証情報を生成するバックドアLambda関数の展開を試みた。このモジュールは認証なしで公開アクセス可能なLambda関数URLを設定する構成だった。

GPUインスタンスの起動によるリソース悪用

　Amazon Bedrockを標的にした後、攻撃者は「Amazon EC2」（Amazon Elastic Compute Cloud）に焦点を移し、ディープラーニング用のマシンイメージを検索した。「stevan-gpu-monster」という名前のp5.48xlargeインスタンスの起動を5回試みたが、キャパシティー不足で失敗し、代わりにp4d.24xlargeインスタンスの起動に成功した。

　起動スクリプトには、GPU（グラフィックス処理装置）専用の並列処理プラットフォーム「CUDA」のインストール、Python向けディープラーニングライブラリ「PyTorch」のセットアップ、公開アクセス可能なIDE（統合開発環境）「JupyterLab」サーバの起動が含まれていた。存在しない「GitHub」リポジトリからのクローンを試みるコードも含まれており、これはLLMによるハルシネーション（幻覚）の影響が示唆されている。

AI支援攻撃の兆候と今後の展望

　この攻撃では、LLM生成コードに含まれるセルビア語のコメントの混入、存在しないAWSアカウントID（123456789012、210987654321などの連番）、存在しないGitHubリポジトリへの参照など、AIによるハルシネーションの兆候が複数観測された。

　SysdigのTRTは、LLMの高度化に伴い、こうした高速かつ自動化された攻撃がより一般的になると警告している。組織はランタイム検出と最小権限の原則の適用を優先し、加速する脅威環境に対応する必要がある。