AI により 10 分以内で AWS 管理者アクセスを奪取:クラウド攻撃の時間を短縮する脅威アクター

Hackers Using AI to Get AWS Admin Access Within 10 Minutes

2026/02/04 CyberSecurityNews — 人工知能ツールを活用する脅威アクターたちが、クラウド攻撃のライフサイクルを数時間から数分へと短縮していると、Sysdig Threat Research Team (TRT) の調査結果が明らかにしている。2025年11月のインシデントにおける攻撃者は、Large Language Model (LLM) を用いて偵察の自動化/悪意のコード生成/リアルタイムな攻撃判断を実行し、初期の認証情報窃取から完全な管理者権限取得までを 10 分未満で完了している。この Amazon Web Services (AWS) 環境への攻撃が示すのは、クラウドへの攻撃の速度と高度化が、AI 支援により根本的に変革されたことだ。

AI モデル向け Retrieval-Augmented Generation (RAG) データを格納するための、公開状態の Simple Storage Service (S3) バケット内に保存されていた、有効な AWS 認証情報を攻撃者が発見したことから、この侵害は始まった。

侵害された認証情報は、AWS Lambda に対する読み取り/書き込みの権限と Amazon Bedrock に対する限定的アクセス権を持つ、Identity and Access Management (IAM) ユーザーに属するものだった。この IAM ユーザーは、ReadOnlyAccess ポリシーを保持していた。したがって、それを悪用する攻撃者は、Secrets Manager/Systems Manager/EC2/ECS/RDS/CloudWatch を含む複数の AWS サービスにわたり、広範な偵察を実施できた。

その後に攻撃者は、Lambda に付与されていた UpdateFunctionCode/UpdateFunctionConfiguration 権限を悪用し、EC2-init と名付けられた既存の関数に悪意のコードを注入した。3 回の反復的試行の後に、frick という管理者ユーザーを侵害し、新たなアクセスキーの作成に成功した。

このオペレーション全体に散見される複数の指標が示すのは、脅威アクターがコード生成に LLM を悪用していたことだ。Lambda スクリプトには、包括的な例外処理/30 秒へのタイムアウト変更/セルビア語のコメント (Kreiraj admin access key=管理者アクセスキーを作成) が含まれており、攻撃者の出自が示唆される。

研究者たちは、複数の AI ハルシネーションも確認している。そこに含まれるのは、連番パターンを持つ架空の AWS アカウント ID 123456789012 および 210987654321 に対するロール引き受けの試行や、存在しない GitHub リポジトリへの言及、claude-session といったセッション名の使用であり、AI に支援される手法の痕跡と考えられる。

この攻撃者は、19 件の異なる AWS プリンシパルに操作を分散するという、高度な永続化手法を示している。その内訳は、14 セッションにまたがる 6 件の異なる IAM ロールと、5 件の侵害済みの IAM ユーザーである。さらに、AdministratorAccess ポリシーを付与した backdoor-admin というバックドア・ユーザーを作成していた。

モデル呼び出しログが無効化されていることを確認した後に、攻撃者は Amazon Bedrock を標的とする LLMjacking オペレーションへと移行した。そこで呼び出されたのは、Claude Sonnet 4/Claude Opus 4/Claude 3.5 Sonnet/DeepSeek R1/Llama 4 Scout/Amazon Nova Premier/Amazon Titan Image Generator などの、複数の基盤モデルである。

研究者たちが発見したものには、バックドア Lambda 関数をデプロイする Terraform モジュールがある。このモジュールは、Bedrock 用の認証情報を生成し、認証不要の Lambda URL を通じて公開を実現していた。

続いて攻撃者は、EC2 コンピュート・リソースへ注力し、ディープ・ラーニング用途の Amazon Machine Image を 1,300 件以上も検索した。最終的に、1 時間あたり $32.77 (月額約 $23,600) の p4d.24xlarge インスタンスをプロビジョニングし、ユーザー・データ・スクリプトを用いて CUDA/PyTorch/ポート 8888 上で公開される JupyterLab サーバをインストールした。これにより、AWS 認証情報に依存しないバックドア・アクセスが確立された。

この脅威アクターは、防御を回避するための複数の手法を用いていた。たとえば、それぞれのリクエストごとに送信元アドレスを変更する IP ローテータ・ツールを使用することで、同一 IP からの操作を相関付けるセキュリティ制御を回避していた。

ユーザー組織にとって必要なことは、すべての IAM ユーザー/ロールに対して最小権限原則を適用し、UpdateFunctionConfiguration/PassRole 権限を制限することである。それに加えて、Lambda 関数のバージョニングを有効化し、コードの不変性を確保すべきである。さらに、機微なデータを含む S3 バケットの非公開状態の確認や、Amazon Bedrock におけるモデル呼び出しログの有効化、そして IAM Access Analyzer による列挙活動を監視すべきである。

今後において、さらに LLM が高度化するにつれて、この種の攻撃の一般化が進むと考えられる。それに対抗するために、実行時における検知能力と、最小権限の強制を最優先事項とし、この加速する脅威環境に対抗する必要がある。

Attack StageTime to ExecuteKey Techniques
Initial Access< 1 minuteCredential theft from public S3 buckets containing RAG data
Reconnaissance2-3 minutesEnumeration across 10+ AWS services using ReadOnlyAccess policy
Privilege Escalation4-5 minutesLambda code injection targeting admin user “frick”
Lateral Movement6-7 minutesCompromise of 19 AWS principals via role assumption
LLMjacking8-9 minutesInvocation of 9 foundation models on Amazon Bedrock
Resource Abuse9-10 minutesp4d.24xlarge GPU instance provisioning ($32.77/hour)

Indicators of Compromise

IP addressVPN
104.155.129[.]177Yes
104.155.178[.]59Yes
104.197.169[.]222Yes
136.113.159[.]75Yes
34.173.176[.]171Yes
34.63.142[.]34Yes
34.66.36[.]38Yes
34.69.200[.]125Yes
34.9.139[.]206Yes
35.188.114[.]132Yes
35.192.38[.]204Yes
34.171.37[.]34Yes
204.152.223[.]172Yes
34.30.49[.]235Yes
103.177.183[.]165No
152.58.47[.]83No
194.127.167[.]92No
197.51.170[.]131No

AWS 環境における侵害事例を解説する記事です。この侵害の原因は、公開状態にあった S3 バケット内に有効な認証情報が放置されていたこと、そして、IAM ユーザーに対して過剰な権限 (ReadOnlyAccess や UpdateFunctionCode など) が付与されていたことにあります。これらの不備を悪用する AI ツールにより、偵察から管理者権限の取得、高額なインスタンスの起動までが、わずか 10 分足らずという驚異的な速度で実行されてしまいました。本来は、開発を支援する AI のコード生成能力が、攻撃の自動化と迅速化に転用された形です。ご利用のチームは、ご注意ください。よろしければ、カテゴリー Literacy も、ご参照ください。