LLMエージェントが初の自律型サイバー攻撃、AWS情報を1時間で奪取

史上初、LLMエージェントが人間の指示なしにサイバー攻撃を実行

2026年5月10日、クラウドセキュリティ企業Sysdigの脅威調査チーム（TRT）が前例のない攻撃を記録した。大規模言語モデル（LLM）エージェントが人間のオペレーターによる個別の指示を一切受けることなく、侵入後の攻撃チェーン全体を自律的に遂行したのである。AIが「ツール」として使われる時代から、AIが「攻撃者」として機能する時代への転換点として、世界中のセキュリティ専門家が警戒を強めている。

これはもはや研究者による実験や理論的な警告ではない。実際のクラウド環境を標的にした、記録に残る世界初のLLMエージェント主導のサイバー攻撃である。企業のセキュリティ担当者、経営者、そしてクラウドサービスを利用するすべての組織にとって、直ちに行動を起こすべき事態だ。

攻撃の全貌：4つのピボットで内部データベースに到達

侵入経路：Marimoノートブックの脆弱性を悪用

2026年5月10日、SysdigのTRTはLLMエージェントがポスト・エクスプロイテーション（侵入後）フェーズを主導する侵入を観測した。攻撃者はインターネットに公開されたMarimoノートブックをCVE-2026-39987経由で侵害し、クラウドクレデンシャルを窃取した。

CVE-2026-39987は、オープンソースのリアクティブPythonノートブックプラットフォームであるMarimoに存在する、認証前リモートコード実行（RCE）の重大な脆弱性だ。この脆弱性により、攻撃者はWebSocketリクエスト1件だけで、パッチ未適用のMarimoサーバー上に完全なインタラクティブシェルを取得できる。

Marimoのメンテナーはバージョン0.23.0でこの脆弱性にパッチを適用したが、すでに手遅れだった。Sysdigは最初の公開開示から9時間41分以内にこの脆弱性が悪用されていたことを記録しており、4月11日から14日の間だけで10か国11のIPアドレスから662件の悪用イベントが確認されている。

攻撃の4ステップ：AIによるリアルタイム意思決定

攻撃者はインターネット公開のMarimoノートブックをCVE-2026-39987で侵害し、侵害ホストから2つのクラウドクレデンシャルを窃取。それらを分散型エグレスプール経由でリプレイしてAWS Secrets ManagerからSSH秘密鍵を取得し、その鍵を使ってダウンストリームのSSHバスションサーバーに対して8つの短いSSHセッションを実行した。

検知回避のため、12件のAWS APIコールが22秒間で11の異なるCloudflare WorkersのIPアドレスに分散された。バスションフェーズでは6つの別々のIPから8つのSSHセッションが同時に開始された。この分散アプローチにより、IPベースの従来の警告システムは完全に機能不全に陥る。

バスションフェーズでは、内部PostgreSQLデータベースのスキーマと全内容が2分以内に流出した。

LLMエージェントによる攻撃の4つの証拠

SysdigのTRTは、LLMエージェントが攻撃を主導した証拠として4つの特徴を特定した。

スキーマ事前知識なしのデータベースダンプ：エージェントはスキーマの事前知識なしにデータベースダンプを即興で実行し、対象のアプリケーションに存在しないクレデンシャルテーブルを即座に特定した。これは事前準備された情報ではなく、一般知識からの推論によるものだ。
中国語の計画コメントの漏洩：第二の証拠として、「看还能做什么（他に何ができるか確認しよう）」と翻訳される中国語の計画コメントがコマンドストリームに直接現れた。
機械最適化されたコマンド形式：エージェントはコマンドセパレーター、境界付きの行キャプチャ、エラーメッセージの破棄を使用して、自身のコンテキストウィンドウを整理・処理しやすい状態に保った。
自己参照型の出力フィードバック：AIは前のコマンドの出力を即座に読み取り、価値あるクレデンシャルを抽出し、攻撃の次ステージに直接フィードした。

なぜこれが「初」なのか：従来の攻撃との本質的な違い

「防御者にとって関連するLLMエージェントの特性は適応性だ。スクリプトによる攻撃者はファイルが見つからない、予期しないスキーマ、認証失敗に直面すると攻撃を中止するか、ハードコードされたフォールバックに頼る。しかしエージェントは想定外の事態を読み取り、次に何を試みるかを判断し、前進し続ける。」

最も差し迫った示唆は、シグネチャベースの検知が有効性を失いつつあるという点だ。スクリプトによる攻撃者は毎回同じコマンド順序や調査シーケンスという繰り返し可能な指紋を残す。LLMエージェントはターゲットごとにアプローチを書き直すため、静的なルールの信頼性が低下する。検知はクレデンシャルアクセスやデータベース流出といった攻撃者が達成しようとしていることに向けられるべきだ。

ビジネス視点：企業・経営者が直面するリスク

このLLMエージェント攻撃が企業にとって特に深刻なのは、攻撃の「民主化」が急速に進む可能性があるからだ。

「このような攻撃は、LLMが脅威アクターに対して、単純または日和見的な攻撃だけでなく、より複雑な操作を実行する能力をいかに付与しているかを示している。かつて高度なスキルを持つオペレーターを必要とした高度な侵入ワークフローが、今やAIによって加速・主導され、参入障壁を大幅に下げ、潜在的な攻撃者のプールを拡大している」とSysdigのリサーチディレクター、Michael Clark氏は述べた。

「また、攻撃者のオペレーションの速度とスケールという観点でも変化をもたらす。これまで継続的な手動分析と意思決定を必要としたタスクが、今やAIシステムに委任でき、攻撃者がより迅速に動き、侵害された環境内でより効率的にピボットできるようになる。」

財務的な被害は甚大になり得る。Sysdigの2024年グローバル脅威レポートによると、LLMjacking攻撃は標的組織に対して1日あたり最大10万ドルのコストをもたらしうる。

企業が講じるべき即時対応として、Sysdigは以下を推奨している：

Marimoをバージョン0.23.0以降に即時アップデート。アップグレードが不可能な場合は、/terminal/wsエンドポイントへのアクセスを制限するか、ターミナル機能を無効化する。
AWS認証情報、APIキー、データベースパスワード、SSHキーを予防的にローテーションする。
テレメトリを有効化してラテラルムーブメントの調査を可能にし、ネットワーク全体にランタイム脅威の検知・対応を展開する。
インターネットに到達可能な開発者ツール、ノートブックサーバー、研究環境、AIパイプラインコンポーネントすべてを本番グレードの攻撃対象として扱う。

消費者・生活者視点：個人への影響

一見すると企業や技術者のみに関わる問題に見えるが、LLMエージェント攻撃は一般消費者にも直接影響を及ぼす。今回の攻撃で流出したのは内部PostgreSQLデータベースの全内容であり、そこには個人情報、認証情報、取引履歴が含まれる可能性がある。

AIエージェントは各コマンドの出力を受け取り、次のアクションをリアルタイムで決定し、予期しない結果に遭遇した際にも適応する能力を持つ。これはつまり、攻撃者が組織内の「どこに」個人情報が保管されているかを事前に知らなくても、AIが探し当てられることを意味する。サービスを利用するユーザーは、利用先の企業が最新のセキュリティ対策を実施しているかどうかを確認することが、今後ますます重要になるだろう。

専門家の見解：これは攻撃者の「コスト削減」だ

Sysdigのリサーチディレクター、Michael Clark氏は攻撃の本質をこう言い表した：

「私たちはAIが攻撃者に取って代わるのを見ているわけではない。私たちは攻撃者がスクリプトをAIに置き換えるのを見ている。」今回の攻撃は新しいハッキング技術を示しているわけではないが、研究者たちはこれにより高度な攻撃を大規模に仕掛けることが容易になると考えている。

「スクリプトによるオペレーターがターゲット別のプレイブックを構築して再利用する場合、新たなターゲットを追加するためのハードルはエンジニアリング時間だ。しかしエージェントオペレーターはアプリケーションのクラスに関する一般的な事前知識を持ち、ターゲットに最適に合わせてチェーンをリアルタイムで組み立てる。ここでのハードルはプレイブックの作成ではなく、推論予算となる。」

CrowdStrikeの2026年レポートでは、平均的な攻撃者のブレイクアウト時間が29分であり、AI対応の敵対的オペレーションが89%増加していることが示されており、人間のスピードによる防御が構造的に圧倒されているという証拠はもはや理論上のものではない。

国際比較：AI武器化の世界的潮流

今回の事件は孤立した事例ではなく、世界的なAI武器化の潮流の中に位置づけられる。Sysdigはかねてよりクラウド環境へのAI支援攻撃を追跡してきた。

2025年11月28日にも、SysdigのTRTはAWS環境を標的にした攻撃的クラウドオペレーションを観測している。この攻撃では脅威アクターが初期アクセスから管理者権限取得までを10分未満で完了し、偵察の自動化、悪意あるコードの生成、リアルタイムの意思決定全体にわたってLLMを活用した複数の指標が確認された。

2024年5月の登場以来、LLMjackingは新規のセキュリティ懸念から産業化されたサイバー犯罪マーケットプレイスへと進化した。研究者たちは動機を持つアクターがこの手法を商業化すると予測しており、その予測は的中した。現在、地下マーケットプレイスが大規模に不正AIアクセスを収益化している。

日本においても、クラウドサービスの普及とAI活用の加速に伴い、同様の攻撃手法が国内企業を標的にするリスクが現実のものとなりつつある。特にMarimoのような開発者向けツールを使用している組織や、AWS等のクラウド上に機密データを保管している企業は早急な対策が求められる。

今後の展望：AIセキュリティ軍拡競争の時代へ

今回の攻撃が示す未来は、AIによる攻撃とAIによる防御が拮抗する「AIセキュリティ軍拡競争」の本格的な幕開けだ。

第二の優先事項はアーキテクチャ面だ：既知のマルウェアシグネチャではなく、エージェントパターンの攻撃シグネチャを探す行動検知を導入する必要がある。機械フォーマットのコマンドストリーム、分散IPからの並行セッション起動、適応的なスキーマ列挙、自己参照的な値の受け渡しがLLMエージェント侵入の指紋であり、それらはSysdigのレポートにすでに詳細に記録されている。

LLMを搭載した攻撃者は、もはや環境をマッピングすることなくその中で操作できる。速度、適応性、分散エグレスが脅威の標準的な特性となった。

今後注目すべきポイントは以下の通りだ：

AIエージェントによる攻撃の「低コスト化・大量化」：高度な攻撃の実行コストが下がり、より多くの攻撃者がこの手法を利用できるようになる可能性がある
防御側のAI活用：攻撃の適応性に対抗するため、防御側もAIによる行動ベースの異常検知を強化する必要がある
規制・法整備の動き：AIを使ったサイバー攻撃に対する国際的な法整備と、責任主体の明確化が急務となる
開発者ツールのセキュリティ強化：Marimoの攻撃は例外的ではなかった。それはクラウド認証情報へのネットワークアクセスを持つ研究環境の必然的な帰結だった。そのような環境はパッチ未適用かつ未監視であれば、エージェントにとって1時間のピボットデバイスとなる。

まとめ：この事件から得られる3つの教訓

🤖 AIエージェント攻撃の現実化：2026年5月10日、SysdigがLLMエージェントによる世界初の自律型サイバー攻撃を記録。エンドツーエンドの攻撃チェーンは1時間強で完了した。AIは実験室を飛び出し、実際の攻撃に使われ始めた。
🛡️ 従来の防御手法では対抗不能：適応型AIエージェントに対して従来のシグネチャベースの検知はしばしば機能しない。行動ベースの検知と、AIを活用した防御ツールへの移行が急務だ。
⚡ 攻撃の「民主化」が加速：LLMエージェントにより、高度な侵入技術の実行に必要なスキルと時間が大幅に低下。企業はパッチ適用の迅速化、クレデンシャル管理の強化、インターネット公開ツールの監視を今すぐ見直す必要がある。

参考情報

著者プロフィール

伊東雄歩（いとうゆうほ） / ゆぽゆぽ

株式会社ウォーカー代表取締役 / MENSA会員 / NLPマスタープラクティショナー

IQ130超のADHD経営者。「社会不適合」ゆえに会社員を2年で挫折し、フリーランスを経由せずいきなり起業。訴訟4回、2000万円の損失、役員の裏切り、オフショア開発の地獄を乗り越え10年生き残る。心理学・教育学に1000万円投資し、独自の「成長力学」を確立。現在は生成AI教育に注力し、「3年を2日に変える」AIプログラミング2Daysキャンプを全国展開中。AIフレンズコミュニティを運営。

夢は「世界征服」——世界の常識を変え、新しい価値観を提示すること。