AWSアカウントが侵害される「AWS CDK」の欠陥が浮上　その危険度は？：またもAWSに脆弱性

AWSのアプリケーション開発キットに欠陥が見つかり、侵入のリスクがあるとセキュリティベンダーAqua Securityは警鐘を鳴らす。同社が発見したAWSの欠陥を整理しよう。

≫ 2024年12月10日 05時00分公開

[Rob Wright，TechTarget]

AWSにまた脆弱性　その危険度は？

併せて読みたいお薦め記事

AWSのセキュリティリスクとは

　AWS CDKは、「Python」や「JavaScript」といったプログラミング言語を使用してクラウドアプリケーションを開発するためのツールだ。

　2024年8月、Aqua Security SoftwareはAWSの「シャドーリソース」と呼ばれる新たなリスクに関する研究結果を発表した。同社は、ユーザーがIaC（Infrastructure as Code）ツール「AWS CloudFormation」やサービス管理ツール「AWS Service Catalog」を最初に起動する際、クラウドストレージ「Amazon Simple Storage Service」（Amazon S3）のバケット（データ保存領域）が自動生成されることを発見した。

　Aqua Security Softwareによると、攻撃者は標的のAWSアカウントのIDからS3バケット名を推測し、AWSが自動的に正規のバケットを作成する前に不正バケットを作成。その後、悪意のあるファイルをバケットにアップロードし、バックドア（攻撃のための入口）を設置できるという。Aqua Security Softwareによると、この攻撃手法が可能なのは、AWS CloudFormationとAWS Service Catalogの他、以下の4つだ。

ETL（データの抽出、変換、読み込み）ツール「AWS Glue」
データ処理実行基盤「Amazon EMR」
機械学習モデル構築サービス「Amazon SageMaker」
アプリケーション構築・デプロイの管理ツール「AWS CodeStar」（2024年7月にプロジェクトの作成と閲覧のサポートを終了）

　Aqua Security Softwareは2024年8月の発表に続き、2024年10月にはAWS CDKにおいてもS3バケットが自動的に作成される方法があることを明らかにした。8月の発表と同様、今回も攻撃者がバケットの命名パターンからバケット名を推測し、管理者権限でアカウントに侵入できるようになるという。同社によると、AWS CDKの命名パターンは「cdk-{修飾子}-assets-{アカウントID}-{地域}」だ。「修飾子のデフォルト値が『hnb659fds』に設定されており、地域さえ分かればバケット名を推測できる」（Aqua Security Software）

　Aqua Security Softwareによると、削除済みのAWS CDKのS3インスタンスでも、以前あった正規のインスタンスと同じ名前で新しいバケットを作成すれば、そのバケット名を利用できる。攻撃者が侵入に成功すれば、AWSアカウント内で不正コードを実行できるという。ただし、AWSユーザーの中にはAWS CDKを使っている組織が少数のため、今回の脆弱性による攻撃リスクの幅は広くないということだ。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

TechTargetジャパントップセキュリティ