AWSで発見された深刻な脆弱性の全容
また。
また、クラウドセキュリティ企業のAqua Securityが。Amazon Web Services(AWS)に存在する複数の重大な脆弱性を発見し。
さらに、「バケットモノポリー」と名付けて報告した。この攻撃手法は。
つまり、AWSサービスが内部的にS3バケットを自動生成する仕組みを悪用するもので。
そのため、放置すればリモートコード実行やアカウント乗っ取りにつながる危険性がある。
バケットモノポリーの仕組み
さらに、AWSの多くのサービスは。
具体的には、初回利用時にS3バケットを自動的に作成する。問題は。
たとえば、このバケット名が予測可能なパターンで生成されるケースがあった点だ。
つまり。
なお、攻撃者はこの命名規則を解析し。まだ作成されていないバケット名を先に取得する。その後。
一方で、正規のユーザーがサービスを使おうとすると。
ただし、攻撃者が用意したバケットにアクセスしてしまう。いわば「名前の先取り」による乗っ取りだ。
そのため、影響を受けたサービスは、CloudFormation、Glue、EMR。
このように、SageMaker、ServiceCatalog。
特に、CodeStarなど広範囲に及んだ。特に危険だったのは。
攻撃者がバケット内のデータを改ざんすることで。
リモートコード実行(RCE)やAIモデルの汚染が可能だった点だ。
具体的な攻撃シナリオ
たとえばCloudFormationでは。テンプレートファイルがS3バケット経由で読み込まれる。攻撃者が偽のテンプレートを仕込んでおけば。
管理者権限を持つIAMロールを作成させることも理論上は可能だった。
具体的には。
SageMakerのケースでは。機械学習モデルのトレーニングデータや推論結果が改ざんされるリスクがあった。AI/MLパイプラインへの攻撃は。
成果物の信頼性を根底から揺るがす深刻な脅威といえる。
AWSの対応と利用者が取るべき対策
たとえば。
Aqua Securityからの報告を受け。AWSは影響のあったサービスについて修正を実施済みだ。ただし。
利用者側でも以下の対策を講じることが推奨される。
まず。
S3バケットの命名にランダムな文字列を含めること。予測可能な名前は攻撃の入口になる。次に。
バケットポリシーを最小権限の原則に基づいて設定すること。不要なパブリックアクセスは必ず無効化すべきだ。
また、AWS CloudTrailでS3バケットへのアクセスログを監視し。
不審なアクティビティがないか定期的にチェックすることも重要だ。組織全体でAWSのセキュリティベストプラクティスを再確認する良い機会だろう。
クラウドセキュリティは「設定」が命
今回の脆弱性は。
クラウドサービスの利便性の裏にあるリスクを改めて浮き彫りにした。AWSのようなメジャーなプラットフォームでも。
サービスの内部挙動を理解せずに使っていると思わぬ落とし穴にはまる可能性がある。
クラウドセキュリティの基本は「正しい設定」に尽きる。デフォルト設定を鵜呑みにせず。自社の環境に合ったセキュリティポリシーを構築・運用していくことが。
クラウド活用の大前提だ。
あわせて読みたい:フィッシング攻撃の最新動向、Chrome拡張機能の危険性、Quick Shareの脆弱性