剣 KENSAI
← All posts · security · 2026-01-01 · 3 min

AWS Bedrockで8つの攻撃ベクトルが発見 — AIインフラが新たな最前線に

XM Cyberの研究者がAWS Bedrockにおける8つの検証済み攻撃経路をマッピング:エージェントハイジャック、ナレッジベース窃取、ガードレール劣化、プロンプトポイズニング——モデル自体に触れることなく。


🔍 なぜ重要なのか

AWS BedrockはAI搭載アプリケーションを構築するためのAmazonの主要プラットフォームです。基盤モデルを企業データに直接接続します。AIエージェントがCRMをクエリしたりLambda関数をトリガーできる場合、それはインフラの一部となり、権限と重要資産へのパスを持つことになります。

⚡ 8つの攻撃ベクトル

1. モデル呼び出しログ攻撃

攻撃者はログを制御するS3バケットにリダイレクトできます。

2. ナレッジベースデータソース攻撃

攻撃者はモデルをバイパスして生の企業データを直接抽出できます。

3. ナレッジベースデータストア攻撃

露出した認証情報によりベクトルインデックスへの完全な管理アクセスが可能になります。

4. 直接エージェント攻撃

攻撃者はエージェントのベースプロンプトを書き換えることができます。

5. 間接エージェント攻撃

Lambda関数を標的にして、ツール呼び出しに悪意のあるコードを注入します。

6. フロー注入攻撃

攻撃者はサイドカーノードを注入して機密入力を攻撃者のエンドポイントにルーティングします。

7. ガードレール劣化

ガードレールは体系的に弱体化または完全に削除される可能性があります。

8. マネージドプロンプトポイズニング

プロンプトテンプレートは再デプロイなしで実行中に変更される可能性があります。

🎯 重要な洞察:モデルはターゲットではない

8つすべてのベクトルが共通パターンを持つ:攻撃者はモデル周辺の権限、構成、統合を標的にする

⚠️ 重大な発見

過剰な権限を持つ単一のIAMアイデンティティで、AIスタック全体が侵害される可能性があります。

🛡️ 即時アクション

  1. Bedrock IAMポリシーを監査
  2. ログ構成の変更を監視
  3. 認証情報を暗号化しローテーション
  4. エージェント構成をロック
  5. プロンプトをコードとしてバージョン管理
  6. AI攻撃対象面をマッピング
  7. ガードレールの回復力をテスト

📊 NIS2およびDORAへの影響

EU組織にとって、これらの発見は直接的な規制上の影響があります。NIS2はサプライチェーンリスク管理重大インシデントの報告を要求しています。