LLMエージェントがRCE後の“後続行動”を自動運転化——Marimo CVE-2026-39987で2分以内にDB流出

今日の深掘りポイント

• 攻撃後の「意思決定→実行→横展開」をLLMエージェントが自動化し、滞在時間をほぼゼロに圧縮しています。防御側は検知・阻止のSLAを「分」単位に再設計する必要がある局面です。
• AWS Secrets Managerに保存されたSSH秘密鍵が踏み台になり、内部PostgreSQLの迅速な抽出につながっています。シークレットの集中管理は便利ですが、アクセス境界を誤ると「特権の単一点化」を招きます。
• 「予測不能な環境でも進める」適応性は、スクリプトキディとは異質です。既存のIOCや固定プレイブック前提の検知はすり抜けられる前提に立ち直すべきです。
• 緊急対応はパッチ適用と露出資産の棚卸しに止めず、Secrets ManagerとIAMロールの横断的な強制ローテーション・条件付きアクセス制御・メタデータAPIの封じ込めまで一気通貫で回すべきです。
• 事案の新規性・即時性・信頼性は高く、短期の実運用テコ入れ（ログクエリ、SCP、タグベースポリシー）で被害半径を現実的に縮められます。待つ理由はありません、です。

はじめに

RCEの初動侵入はもはや目的ではなく、LLMエージェントにとっての「スタート信号」になりつつあります。MarimoのCVE-2026-39987を梃子に、攻撃者は侵入直後にクラウド認証情報を引き出し、AWS Secrets Manager経由でSSH秘密鍵を入手、内部のPostgreSQLデータベースを2分以内に抽出したと報告されています。ここで重要なのは、新しい侵入手口ではなく、「後続活動の高速最適化と自律化」という質的転換です。人的ボトルネックを外した攻撃チェーンは、我々の検知・封じ込めプロセスの閾値を根本から揺さぶります。今日の深掘りは、その「スピードと適応性」が防御戦略にどのような再設計を迫るのかを見極めることにあります、です。

深掘り詳細

事実関係（公開情報の整理）

• 脆弱性: CVE-2026-39987（Marimoに影響）。認証なしで任意コマンド実行が可能な重大RCE、最新0.23.0で修正済みとされます。
• 侵害後の動き: 侵害ホストからクラウド認証情報を抽出し、AWS Secrets ManagerからSSH秘密鍵を取得。これを足場に内部PostgreSQLデータベースの内容を短時間（2分以内）で抽出したと報告されています。
• タイムライン: 攻撃は2026年5月10日に記録。
• 特徴: 後続活動の一部にLLMエージェントが用いられ、環境に応じて手順を調整しながら進める適応性が示唆されています。
• 露出資産の対策: ベンダ修正（0.23.0）への更新と、公開インスタンスの監査・認証情報ローテーションが推奨されています。
  出典は以下の参考情報に記載します、です。

インサイト（防御側の再設計に必要な観点）

• 自律化が「攻撃のボトルネック」を潰した
  人手による確認・判断の待ち時間が消え、RCE成立直後から環境探索、資格情報の抽出、横展開、収集・送出までが直列一気通貫で走る前提に変わりました。従来のEDRやNDRが期待していた“痕跡の溜まり”や“人の間”に生まれる遅延が縮み、M-TTD/MTTRの勝負は分単位になります、です。
• Secrets Managerは「安全な金庫」か「単一障害点」か
  シークレット集中は業務運用を平準化しますが、ロール境界・タグ境界・KMSの暗号化コンテキストが甘いと、最短手数で「最も価値の高い鍵束」を奪われます。特にSSH秘密鍵など“二次横展開に直結するシークレット”は秘匿場所を分離し、回収時のMFA・条件付きアクセス・境界タグを強制する設計が要ります、です。
• 「2分以内」の意味
  これは大容量の全件ダンプというより、エージェントがスキーマや高価値テーブルを優先抽出した可能性が高いことを示します（仮説）。検知・阻止は「全量送出を止める」ではなく、「優先データの初回抽出を時間内に阻む」方針に舵を切るべきです。ネットワークDLPだけでなく、DB側のレート制御・行レベル監査・クエリパターン異常値検知を即応レベルで有効化する価値が高いです、です。
• エージェント特有の挙動シグナル（仮説）
  LLMエージェントは状況に応じてコマンド列を更新しますが、一定の規則性が生まれます。例えば「環境メタ情報の一括採取→認証情報探索→クラウドAPI呼び出し→横展開テスト」の短周期繰り返し、外形的に整ったコマンド列、失敗時の即時リトライとツール切り替えなどです。行動特徴量としてセッション内の“手順圧縮率”と“インターバルの低分散”を指標に監視モデルを強化するのが有効と考えます（検知ロジックの具体化は各社EDR/NDRで設計が必要）、です。

脅威シナリオと影響

本件はクラウド認証情報・Secrets Manager・SSH鍵・内部DBという“企業の一次・二次資産”を一直線に結ぶシナリオです。ここにLLMエージェントの適応性が重なると、従来の段階的な妨害策は時間切れになりがちです。以下はMITRE ATT&CKに沿った想定シナリオ（仮説）と、CISO/SOC向けの示唆です、です。

• 初期侵入
  • Exploit Public-Facing Application（T1190）
    RCE成立と同時に自動シーケンスが開始します。WAFの仮想パッチとともに、成功時のサーバ側トレース（execve監査、eBPF）を有効化し、最初の1分で“何個のプロセスが連続生成されたか”をアラートに載せると良いです、です。
• 実行・探索
  • Command and Scripting Interpreter: Unix Shell（T1059/サブ技術）
  • System/Network/Account Discovery（T1082/T1046/T1087 など）
    エージェントは初手で環境変数・OS情報・ネットワーク到達性を高速に収集します。プロセス生成の連鎖と短間隔の外向きDNS/HTTPリクエストを組み合わせた相関検知が有効です、です。
• 資格情報・シークレット取得
  • Unsecured Credentials: Cloud Instance Metadata API（T1552.005）
  • Credentials from Password Stores: Cloud Secret Manager（T1555/サブ技術）
  • Unsecured Credentials: Private Keys（T1552.004）
    CloudTrailにおけるsecretsmanager:GetSecretValue、kms:Decryptの新規パターン、タグや名前に“ssh”、“private_key”を含むシークレットへの突発的アクセス増加を一次指標にします。IAMロールからの横断取得はSCP/ABACで封じる設計が要ります、です。
• 横展開・権限悪用
  • Valid Accounts（T1078）
  • Remote Services: SSH（T1021.004）
    入手鍵の使用は“成功するまで短周期で踏み台を切り替える”傾向が出やすいです。内向きSSHのレート制御・失敗回数の短期しきい値アラート・ジャンプホスト強制で圧縮します、です。
• 収集・送出
  • Data from Information Repositories（T1213）
  • Exfiltration Over Web Services/Protocol（T1041/T1071）
    DBはスキーマ列挙の直後に特定テーブル抽出が走る可能性が高いです。スキーマ参照から大テーブル選択までの“時間差”に下限しきい値を置く、結果セットのサイズ急増を遮断する（帯域・クエリレート）など、DB側のガードで“2分の勝負”を取りに行きます、です。

影響の広がりはオンプレ/クラウド/境界SaaSへカスケードします。特にCI/CDやITSMのAPIトークンが同居している環境では、Secrets Manager経由での二次・三次侵害が短時間で連鎖するリスクがあります。国家支援型の模倣も現実的で、作戦テンプレートの共有が進めば、産業・公共・医療といった重要インフラのMFA例外や緊急アクセス経路が狙われやすくなります（将来動向の仮説）、です。

セキュリティ担当者のアクション

時間軸を「今すぐ/48時間/2週間」で切り、分単位の自動攻撃に対抗できる体制に引き上げます、です。

• 今すぐ（同日内）

  • Marimoを修正版（0.23.0）へ緊急アップデート。公開インスタンスは一時的にWAFでブロック/レート制御を併用します、です。
  • Secrets Managerの横断監査：名前・タグにssh/private/keyを含むシークレットの棚卸し、直近7日間のGetSecretValue・kms:Decryptのスパイク確認、異常があれば即時ローテーションします、です。
  • IAMロール絞り込み：侵害ホストのインスタンスプロファイルにバインドされたポリシーを最小化。SCP/条件付き（aws:ResourceTagなど）で「秘密鍵タグ付与シークレット」は取得主体を限定します、です。
  • メタデータAPI封じ込め：IMDSv2強制、169.254.169.254へのiptables/ホストFW制御、プロキシ越し以外の外向きクラウドAPI通信を遮断します、です。
  • データベース防御の即時強化：高価値テーブルのクエリレート・結果セット上限・接続元制限を適用、スキーマ列挙直後の大規模抽出をブロックする“簡易ルール”を投入します、です。

• 48時間以内

  • 全シークレットの強制ローテーション計画を実行（SSH鍵・DB資格情報・APIトークン）。ローテーション不能な長期鍵は撤去計画を立て、短期証明書（例：一時的なSSH証明書ベース接続）に移行設計を開始します、です。
  • CloudTrail/監査ログのクエリ定常化：secretsmanager:GetSecretValue、ssm:GetParameter、kms:Decrypt、iam:PassRole、ec2:Describe* の異常相関検知をダッシュボード化します、です。
  • エージェント挙動の特徴量検知（仮説ベース）：セッション内プロセス生成の“連続性/間隔分散の低さ”、失敗→代替ツール切替の高速ループ、外向きDNS/HTTPリクエストの短周期バーストなどを統合し、分単位アラートを実装します、です。

• 2週間以内

  • Secrets Managerの分割統治：高リスクシークレット（SSH鍵、ブレークグラス用資格情報）は別アカウント/専用KMSキー/厳格なリソースポリシーに移設。タグ基盤（環境/機密度/所有者）を整備しABACを前提化します、です。
  • ネットワークの“外向き最小化”：VPCエンドポイント/プロキシ経由のみのクラウドAPI到達を許可し、直接外向きを段階的に廃止します、です。
  • DB側のゼロトラスト化：IAM/AAD連携や短命トークン化、TLS必須、行・列レベル権限制御、監査ポリシーの常時有効化を標準運用に織り込みます、です。
  • インシデント対応演習（分単位SLA版）：RCE直後2分/5分/15分のタイムボックスで、隔離・鍵ローテ・CloudTrail査読・SCP差し替えまで流せる体制を実地検証します、です。

• 運用の心得（長期）

  • 「便利な集中」と「安全な分散」のバランスを、資産ごとに明文化します。特に“横展開の媒介”となるシークレットは異なる統制ドメインに隔離し、MFA/Just-in-Time付与を前提にします、です。
  • 検知は“何を取られたか”だけでなく“どれくらい速いか”を一次指標に加えます。速度は自律攻撃の質的指標であり、対応SLA設計の核になります、です。
  • LLMエージェントの防御研究にコミットします。社内赤チームでエージェント駆動の後続活動を再現し、検知特徴量とブロックポイントを継続チューニングします、です。

参考情報から読み取れる新規性と信頼性は十分に高く、しかも行動可能性が高い領域（Secrets Manager/IAM/IMDS/DB制御）に集中しています。待ってから“よくやる施策”に落とすのでは遅いです。分の単位で動く相手に、分の単位で備える体制づくりを、今日から始める価値があると考えます、です。

参考情報

• The Hacker News: Attackers Use LLM Agent for Post-Exploitation After Marimo CVE-2026-39987（2026-05-29） https://thehackernews.com/2026/05/attackers-use-llm-agent-for-post.html