Aqua Securityはこのほど、「Bucket Monopoly: Breaching AWS Accounts Through Shadow Resources」において、Amazon Web Services (AWS)の6つのサービスに影響を及ぼす可能性がある重大な脆弱性について伝えた。この脆弱性が悪用された場合、リモートコード実行(RCE: Remote Code Execution)、ユーザー乗っ取り、機密データの流出、サービス運用妨害(DoS: Denial of Service)など深刻な影響を受ける可能性がある。

  • Bucket Monopoly: Breaching AWS Accounts Through Shadow Resources

    Bucket Monopoly: Breaching AWS Accounts Through Shadow Resources

影響を受けるAWSサービス

発見されている脆弱性の影響を受ける可能性があるとされるAWSのサービスは次のとおり。

  • CloudFormation
  • Glue
  • EMR
  • SageMaker
  • ServiceCatalog
  • CodeStar

シャドーリソースと呼ばれる攻撃ベクトル

発見された脆弱性では、シャドーリソースと呼ばれる攻撃ベクトルが利用されており、特にS3バケットの「バケットモノポリー」と呼ばれる手法が問題視されている。この手法により攻撃者が被害者のアカウントにシャドーリソースを作成し、管理アクセスを取得することが可能になるとされている。

具体的にはCloudFormationなどのサービスで自動生成されるS3バケットが他のリージョンでも同じ命名規則で生成できることを悪用し、攻撃者が同じバケット名を予測してバケットを作成することで被害者のデータにアクセスできるようになる。

発見された脆弱性はAWSに報告されており、迅速に修正されている。しかしながら、Aqua Securityはこの種の攻撃は他のサービス、プロダクト、オープンソースプロジェクトなどにも存在する可能性があると指摘している。AWSユーザーは常に最新のセキュリティ対策を講じるとともにシャドーリソースに関連するリスクを理解し、適切な緩和策を講じることが推奨されている。