Aqua Securityはこのほど、「Bucket Monopoly: Breaching AWS Accounts Through Shadow Resources」において、Amazon Web Services (AWS)の6つのサービスに影響を及ぼす可能性がある重大な脆弱性について伝えた。この脆弱性が悪用された場合、リモートコード実行(RCE: Remote Code Execution)、ユーザー乗っ取り、機密データの流出、サービス運用妨害(DoS: Denial of Service)など深刻な影響を受ける可能性がある。
影響を受けるAWSサービス
発見されている脆弱性の影響を受ける可能性があるとされるAWSのサービスは次のとおり。
- CloudFormation
- Glue
- EMR
- SageMaker
- ServiceCatalog
- CodeStar
シャドーリソースと呼ばれる攻撃ベクトル
発見された脆弱性では、シャドーリソースと呼ばれる攻撃ベクトルが利用されており、特にS3バケットの「バケットモノポリー」と呼ばれる手法が問題視されている。この手法により攻撃者が被害者のアカウントにシャドーリソースを作成し、管理アクセスを取得することが可能になるとされている。
具体的にはCloudFormationなどのサービスで自動生成されるS3バケットが他のリージョンでも同じ命名規則で生成できることを悪用し、攻撃者が同じバケット名を予測してバケットを作成することで被害者のデータにアクセスできるようになる。
発見された脆弱性はAWSに報告されており、迅速に修正されている。しかしながら、Aqua Securityはこの種の攻撃は他のサービス、プロダクト、オープンソースプロジェクトなどにも存在する可能性があると指摘している。AWSユーザーは常に最新のセキュリティ対策を講じるとともにシャドーリソースに関連するリスクを理解し、適切な緩和策を講じることが推奨されている。