AWS Bedrockで8つの攻撃ベクトルが確認、AIインフラは新たな最前線になった
XM CyberはAWS Bedrock内で8つの実証済み攻撃経路を特定しました。エージェント乗っ取り、ナレッジベース窃取、ガードレール劣化、プロンプト汚染まで、焦点はモデルではなく周辺インフラです。
なぜ重要か
AWS Bedrockは基盤モデルを企業データ、ナレッジベース、Lambda関数、各種ワークフローへ直接つなぎます。便利さの裏返しとして、AIワークロードがそのまま重要インフラの延長になります。権限の強すぎるIDがひとつ奪われるだけで、影響はモデルの外へ一気に広がります。
8つの攻撃ベクトル
- モデル呼び出しログを攻撃者管理のS3へ向け替えたり、痕跡を削除したりする。
- RAGデータソースを直接読み取り、モデルを経由せずに機密データを抜き出す。
- PineconeやRedis、Auroraなどのベクトルストアで露出した認証情報を悪用する。
- エージェントのベースプロンプトやaction groupを改変し、正規エージェントに悪意ある処理をさせる。
- 補助Lambda関数を改ざんし、ツール呼び出しを見えない形で操作する。
- Bedrock Flowsに追加ノードを差し込み、機密入力を外部へ流す。
- ガードレールを弱体化または削除し、prompt injectionやPII流出を再び通してしまう。
- 管理されたプロンプトテンプレートを本番中に汚染し、明確な再デプロイなしで反映させる。
重要な示唆
標的はモデルそのものではありません。攻撃者が狙うのはIAM権限、設定、データパス、そしてAIアプリを取り巻く統合層です。prompt injectionだけを見ていると、本当のクラウド攻撃面を見落とします。
重大な発見
権限過多のIAMアイデンティティが1つあるだけで、ログ、エージェント、フロー、プロンプト、ナレッジアクセスを同時に侵害できます。多くの組織はこの経路をまだ把握できていません。
今すぐ取るべき対応
- Bedrock、Lambda、S3の権限を最小権限に絞る。
- ログ設定とガードレール変更にアラートを設定する。
- 資格情報はSecrets Managerで管理し、定期ローテーションする。
- UpdateAgentとCreateAgentActionGroupは管理されたCI/CD経路だけに限定する。
- プロンプトをコードとして扱い、レビューと承認と監査証跡を必須にする。
- AIワークロードから重要資産までの経路をすべて可視化する。
- ガードレールが設定変更で弱くならないか定期的に検証する。
NIS2とDORAへの影響
EU組織にとってこれは直接の規制課題です。NIS2はサプライチェーンリスク管理と重大インシデント報告を要求し、DORAは金融機関に対してAI自動化を含むデジタル依存関係の把握と検証を求めます。Bedrock運用は正式なリスク評価に含めるべきです。