Marimoの脆弱性を悪用、LLMエージェントがクラウド認証情報と内部DBを窃取

インターネット上に公開されたMarimoの脆弱性を侵入口として、攻撃者がクラウド認証情報やSSH秘密鍵を取得し、内部のPostgreSQLデータベースから情報を持ち出した事例が報告されました。侵入後の操作には、大規模言語モデルを利用したAIエージェントが関与した可能性があると分析されています。The Hacker News：Attackers Use LLM Agent for Post-Exploitation After Marimo CVE-2026-39987 Exploit

この記事のポイント

影響のあるシステム

• Marimo 0.20.4以前を使用している環境
• インターネットからアクセス可能な状態で公開されているMarimoノートブック
• Marimoの実行環境からAWSのアクセスキーやその他のクラウド認証情報を参照できるシステム
• AWS Secrets ManagerにSSH秘密鍵などの重要情報を保存している環境
• 踏み台サーバーを経由して内部のPostgreSQLデータベースへ接続できる構成
• 環境変数、設定ファイル、認証情報ファイルなどにクラウドやデータベースの認証情報を保存している環境

推奨される対策

• Marimoを脆弱性が修正されたバージョン0.23.0以降へ更新してください。
• インターネットからアクセス可能なMarimoインスタンスを洗い出し、不要な公開を停止してください。
• ファイアウォール、VPN、ゼロトラストアクセスなどを利用し、Marimoへの接続元を制限してください。
• Marimoの実行環境から参照可能なクラウド認証情報、APIキー、データベースパスワードを確認し、必要最小限の権限に見直してください。
• 脆弱なMarimoを公開していた場合は、AWSアクセスキー、APIキー、SSH鍵、データベース認証情報を変更してください。
• AWS Secrets Managerに対する不審なGetSecretValue操作や、通常と異なる複数の送信元からのAPIアクセスを確認してください。
• 踏み台サーバーへの短時間の連続したSSH接続や、PostgreSQLのスキーマ・テーブルを一括取得する操作がないか調査してください。

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

公開されたMarimoから内部データベースまで侵入

今回の攻撃では、インターネットから接続可能なMarimoノートブックが最初の侵入口になりました。攻撃者はCVE-2026-39987を悪用し、認証を経ずに対象ホスト上でシステムコマンドを実行したと報告されています。この脆弱性は、ターミナル機能を提供するWebSocketエンドポイントで認証確認が行われていなかったことに起因します。影響を受けるMarimo 0.20.4以前では、外部から当該エンドポイントへ接続されると、Marimoプロセスの権限で対話型のシェルを操作される可能性があります。

侵入後、攻撃者は対象ホストから2組のクラウド認証情報を取得しました。そのうちのAWSアクセスキーを使用してAWS Secrets ManagerへAPIリクエストを送り、保存されていたSSH秘密鍵を取得したとされています。続いて、この秘密鍵を用いてSSH踏み台サーバーへ接続し、その先にある内部環境の調査を開始しました。攻撃に必要な認証情報が複数のシステム間で連鎖し、公開サービスへの侵入がクラウド環境や内部ネットワークへの横展開につながった形です。

踏み台サーバーでは、8つの短いSSHセッションが並行して実行され、内部のPostgreSQLデータベースからスキーマとデータ全体が持ち出されたと報告されています。データベースに対する一連の処理は2分未満で完了し、Marimoへの初期侵入からデータ窃取までの攻撃全体も1時間程度で進行しました。公開サービスの脆弱性だけでなく、ホスト上に保存された認証情報の範囲や、その認証情報から到達できるシステムを確認する必要があります。

実行結果を判断しながら攻撃手順を組み立てるAI

Sysdigは、侵入後に記録されたコマンドの特徴から、事前に作成された固定スクリプトではなく、LLMエージェントが状況に応じて処理を組み立てていた可能性が高いと分析しています。攻撃者は、データベースのホスト名やスキーマを事前に把握していなかったにもかかわらず、接続先を調査し、短時間で認証情報を含むテーブルへ到達しました。決められたファイルやテーブルだけを取得する従来型のスクリプトとは異なり、得られた情報を解釈しながら次の操作を選択したとみられています。

記録されたコマンドには、機械による処理を意識した特徴も確認されました。各処理の出力が区切り文字で分けられ、表示量が制限されていたほか、ページャー機能を無効化し、エラー出力を破棄することで、次の処理に不要な情報を減らしていました。また、コマンド列には「ほかに何ができるか確認する」という意味の中国語による計画コメントが混入しており、AIエージェント内部の指示や思考用テキストが実際のコマンドストリームへ流出した可能性が指摘されています。

さらに、あるコマンドの出力から得られた値が、次のコマンドの入力として引き渡されていました。例えば、ファイル一覧を取得してSSH秘密鍵の存在を確認した後、そのファイルを読み取る操作へ移行しています。データベースのパスワードについても、認証情報ファイルの出力を後続の接続処理に利用したとされています。このような攻撃では、予想したファイルが存在しない場合や認証に失敗した場合でも、AIが別の方法を考えて調査を継続する可能性があります。

国内組織は公開範囲と認証情報の連鎖を確認

Marimoを利用している国内組織は、最初に稼働中のバージョンとインターネットへの公開状況を確認する必要があります。CVE-2026-39987はMarimo 0.20.4以前に影響し、0.23.0で修正されています。脆弱なバージョンが外部から到達可能な状態だった場合、アクセスログに明確な異常が見つからなくても、侵害を前提とした確認が必要です。攻撃者は単一のWebSocket接続からシェルを取得できるため、一般的なログイン失敗や認証試行として記録されない可能性があります。

次に確認すべきなのは、Marimoの実行環境から取得できる認証情報です。環境変数、設定ファイル、ホームディレクトリ、AWS認証情報ファイルなどに保存されたアクセスキーを調査し、それらの権限と利用履歴を確認してください。AWS CloudTrailでは、普段使用しない送信元や短時間に分散した接続元からのGetCallerIdentity、GetSecretValueなどの操作がないかを確認することが重要です。SSH秘密鍵をSecrets Managerで管理している場合は、鍵を取得できるIAM主体を限定する必要があります。

踏み台サーバーやデータベースについても、短時間に繰り返されたSSH接続、複数セッションの並列実行、スキーマ一覧の取得、全テーブルのエクスポートなどを調査してください。脆弱なMarimoを公開していた場合は、修正版への更新だけで対応を終了せず、アクセスキー、APIキー、SSH鍵、データベースパスワードを変更することが推奨されます。AIを利用した攻撃では環境ごとに操作手順が変化する可能性があるため、特定のコマンド文字列だけでなく、認証情報の探索や短時間の横展開といった行動全体を監視することが重要です。

参考文献・記事一覧

• The Hacker News
• Sysdig Threat Research Team
• Marimo公式セキュリティアドバイザリ
• National Vulnerability Database（NVD）

投稿者プロフィール

CyberCrew（サイバークルー）

CyberCrew（サイバークルー）は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

■ 情報セキュリティサービス台帳登録事業者

■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10

■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester（Level 3）

最新の投稿

• News2026.06.26AI時代のDDoS攻撃に備える、Web・API・クラウド防御の見直しが重要
• 2026.06.25Marimoの脆弱性を悪用、LLMエージェントがクラウド認証情報と内部DBを窃取
• 2026.06.24Redisに認証後のRCE脆弱性「CVE-2026-23479」、修正版への更新を推奨
• 2026.06.23Appleの署名・公証を通過した不正アプリ「FlutterShell」、広告経由で感染を誘導