Logo
x logo
2025-07-25

AIエディターCursorの脆弱性を悪用してAmazon EC2インスタンスを乗っ取られる?!

要約

セキュリティ研究者が、Cursorのバックグラウンドエージェントの脆弱性を悪用して、Amazon EC2 インスタンスへの不正アクセスに成功したことが明らかになりました。これは、クラウドインフラストラクチャと深く統合されたAIアプリケーションに関連する重大なリスクを示しています。

このニュースのスケール度合い
8.0
/10
インパクト
9.0
/10
予想外またはユニーク度
8.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
9.0
/10
このニュースを見て行動が起きるあるいは行動すべき度合い
9.0
/10

詳細分析

主なポイント

  • セキュリティ研究者がCursorのバックグラウンドエージェントの脆弱性を発見し、Amazon EC2 インスタンスへの不正アクセスに成功した
  • Cursorのエージェントは、Dockerオペレーションを行う際に不審な動きがあったことから調査が始まった
  • Cursorのユーザーインターフェイスに「ターミナルを表示」ボタンがあり、これを利用して遠隔マシンへのコマンドラインアクセスが可能になった
  • ルートアクセスを得た研究者は、Cursorのエージェントが GitHub との認証に使用しているサーバー間トークンを発見し、不正利用の可能性を示した
  • 研究者は、EC2 インスタンスのホストマシンにもアクセスできるようになり、クラウドインフラストラクチャへの深刻な脅威となった

社会的影響

  • クラウドインフラストラクチャと深く統合されたAIアプリケーションの脆弱性が明らかになった
  • Cursorのようなアプリケーションの信頼関係を悪用することで、大規模な被害につながる可能性がある
  • クラウドセキュリティの重要性が再認識された

編集長の意見

この事例は、一見無害に見えるデスクトップアプリケーションの機能が、クラウドインフラストラクチャ全体のセキュリティを脅かす可能性があることを示しています。
本日は、記事の内容を元に、どうしてEC2インスタンス乗っ取りまでできたのか?ついて深掘りしていきます。

解説

脆弱性の本質:デバッグ機能が招いた想定外のアクセス経路

Cursorのデスクトップアプリケーションに実装された「Show Terminal」ボタンが、本来はデバッグと透明性のために設計された機能でしたが、これがリモートマシンへの直接的なコマンドラインアクセスを提供していました。この機能が攻撃の起点となり、最終的にAWS EC2インスタンスの完全な制御権を奪取される結果となりました。

攻撃の詳細なプロセス

1. 初期侵入:高権限ユーザーへのアクセス

ubuntuユーザーが設計上高い権限を持っていたため、sudo -iコマンドを使用して簡単にroot権限へのエスカレーションが可能でした。この権限設定は、Cursorのエージェントがパッケージのプルや依存関係のインストールを行うために必要とされていましたが、同時に重大なセキュリティリスクを生み出していました。

2. 環境の探索と権限昇格

研究者たちは以下の手順で段階的に権限を拡大しました:

  • Linpeas.shなどのペネトレーションテスティングツールを使用した包括的な列挙
  • 1TBの大容量ストレージを持つAWSインスタンス上で稼働するカスタムDockerイメージの発見
  • Node.jsサーバーとクライアントコンポーネントの特定
  • GitHubとの認証に使用されるServer-to-Serverトークンの発見

3. Dockerからホストマシンへの脱出

最も重要な発見は、ホストマシンが自身のボリュームをDockerインスタンスと共有していたことでした。root権限を持つ研究者は、これらの共有ボリューム内のあらゆる場所に書き込みが可能でした。

具体的な脱出手順:

  1. SSHキーペアの生成
  2. 公開鍵を/root/.ssh/authorized_keysに書き込み
  3. IPアドレス172.17.0.1のホストマシンへ直接SSH接続

悪用された場合の潜在的な被害

この脆弱性が悪意のある攻撃者によって悪用された場合、以下のような深刻な被害が発生する可能性があります:

1. インフラストラクチャの悪用

  • 暗号通貨マイニング: AWS EC2マシンの完全な制御権とGitHubのServer-to-Serverトークンを組み合わせることで、暗号通貨マイニングなどの悪意のある活動が可能
  • ボットネットへの組み込み: 乗っ取ったインスタンスを大規模な攻撃インフラの一部として利用
  • 計算リソースの不正使用: 高額なAWSの請求書につながる可能性

2. データの漏洩とコードの改ざん

  • GitHubリポジトリへの不正アクセス: GitHubのServer-to-Serverトークンがユーザーのリポジトリにスコープされており、リポジトリへの不正アクセスの潜在的な悪用ベクトルを提示
  • ソースコードの窃取: プライベートリポジトリのコードやビジネスロジックの盗難
  • バックドアの挿入: 正規のコードに悪意のあるコードを混入させる

3. サプライチェーン攻撃

  • 開発環境の汚染: 開発者の環境を介して組織全体への侵入
  • CI/CDパイプラインへの侵入: 自動化されたデプロイメントプロセスの悪用

この脆弱性が発生するパターンと注意点

リスクが高まる状況

  1. Background Agentsの使用時: Background Agentsは数日間のデータ保持を必要とし、隔離されたubuntuベースのマシンで実行されます
  2. GitHubとの統合設定時: リポジトリへの読み書き権限を付与する必要がある
  3. 複雑なビルド環境の構築時: Dockerfileや複数の依存関係を持つプロジェクト

組織が取るべき対策

即時対応

  • Cursorの最新バージョンへのアップデート
  • Background Agents機能の一時的な無効化の検討
  • アクセスログの監査と異常な活動の確認

長期的な対策

  1. 最小権限の原則の徹底

    • 開発ツールに付与する権限の見直し
    • 必要最小限のスコープでのトークン発行

  2. ネットワークセグメンテーション

    • 開発環境と本番環境の厳格な分離
    • VPCの適切な設定と監視

  3. 監視とログ分析の強化

    • EC2インスタンスへの異常なアクセスパターンの検出
    • GitHubリポジトリへのアクセスログの定期的な確認

  4. SaaS統合のリスク評価

    • デスクトップツールであっても、基盤となるインフラストラクチャへの重要なアクセス権を持つことがあることを認識し、SaaSセキュリティが直接管理するアプリケーションをはるかに超えて拡張されることを理解する

まとめ

この事例は、一見無害に見えるデスクトップアプリケーションの機能が、クラウドインフラストラクチャ全体のセキュリティを脅かす可能性があることを示しています。開発者の生産性を向上させるツールが、同時に攻撃者にとっての新たな侵入経路となりうることを、組織は常に意識する必要があります。

特に、AIを活用した開発支援ツールの普及に伴い、これらのツールが持つ権限と潜在的なリスクを適切に評価し、セキュリティ対策を講じることが急務となっています。

背景情報

  • Cursorは、クラウドインフラストラクチャと深く統合可能なAIアプリケーションの一つ
  • Cursorのバックグラウンドエージェントは、パッケージのインストールやリポジトリへのコミットなどの機能を持っている
  • 研究者は、Cursorのエージェントの動作を詳細に分析し、脆弱性を発見した
世界のセキュリティ最前線
Packet News 一覧へ