Amazon Web Services(AWS)は、Amazon Qデベロッパー拡張機能に存在した深刻度「高」のセキュリティ脆弱性を修正しました。この脆弱性を悪用されると、攻撃者は開発者を誘導して悪意のあるリポジトリを開かせるだけで、任意のコードを実行したりクラウド認証情報を窃取したりできる可能性がありました。問題の発端は、Model Context Protocol(MCP)サーバーにあり、MCPサーバーは組織の人工知能(AI)インフラにおける新たなセキュリティ上の弱点として浮上しています。
Wiz Researchの研究者たちは、CVE-2026-12957として追跡されるこの脆弱性をVisual Studio Code用のAmazon Q Developer拡張機能に発見し、最近のブログ記事で詳細を報告しています。この欠陥はAmazon QのMCP処理方法に起因しており、デフォルトではユーザーの承認なしにワークスペースファイルからMCPサーバーの設定を自動的に読み込んで実行してしまう仕様でした。
Wizの脅威リサーチャーであるMaor Dokhanian氏は同記事の中で、生成されたプロセスが開発者の完全な環境を継承するため、攻撃者はAWS認証情報、APIキー、SSHエージェントソケット、その他開発者のセッションで利用可能な機密情報にアクセスできる可能性があると指摘しました。「完全な環境継承と組み合わさることで、即座のコード実行が可能になりました」と同氏は記しています。
WizはこのAWSに脆弱性を開示し、AWSはLanguage Serverバージョン1.65.0へのアップデートで問題を修正しました。AWS向けLanguage Serverは、Visual Studio Code、JetBrains、Eclipse、Visual StudioのIDEプラグインを通じてAmazon Q DeveloperのAIコーディング支援を担う、基盤となるランタイムを提供するものです。
それでもDokhanian氏によれば、この脆弱性はより広範なMCPエコシステムという観点から見ると「AIコーディングツールに影響する広範なパターンの一部」であるといいます。同氏は、OX SecurityとCheck Pointがそれぞれ独自に発見した類似の問題も挙げています。「ワークスペース設定の自動実行、特にMCPを通じた自動実行に関連する類似の脆弱性が、外部研究者によってClaude Code(CVE-2025-59536、CVE-2026-21852)、Cursor(CVE-2025-54136)、Windsurf(CVE-2026-30615)でも確認されています」と同氏はDark Readingに語っています。
MCPサーバーの悪用経路
MCPサーバーはAIエージェントと企業システムを結ぶ接着剤として機能しており、攻撃者に侵害されると組織の膨大な機密データが流出するリスクがあります。また専門家らが指摘するように、MCPの問題は大規模言語モデル(LLM)とMCP自体のアーキテクチャレベルに存在するため、パッチ適用や設定変更では即座に対処できないリスクをはらんでいます。
今回のケースでは、MCPの問題が開発環境に影響を及ぼし、開発者が持つ権限を通じて多数のクラウド資産やサプライチェーンにまで波及する可能性があります。Dokhanian氏の説明によれば、攻撃者は悪意のある開発者リポジトリを作成することで、MCPサーバーに関するAmazon Qの固有の動作を利用してクラウド認証情報へのアクセスを得ることができます。
「これは現実的な脅威モデルであり、企業環境に対してすでに使われている手口と一致しています」と同氏は述べています。「開発者は日常的にサードパーティのコードに触れており、ソーシャルエンジニアリング、偽の採用面接、悪意のあるプルリクエスト、タイポスクワッティング、侵害された依存関係など、さまざまな方法で攻撃者が悪意のあるリポジトリを送り込む機会が生まれています」
攻撃シナリオは、開発者が悪意のあるパッケージまたはタイポスクワッティングされたパッケージをクローンし、Amazon Qがインストールされた状態でVS Codeでそのフォルダを開くところから始まります。Dokhanian氏によれば、このシナリオでは開発者がコードを一行も確認する前に悪意のある設定が実行されてしまいます。
「被害者がAmazon Qを起動すると、拡張機能は同意を求めることなく悪意のあるMCP設定を読み込んで実行します」とDokhanian氏はブログ記事で説明しています。「攻撃者のペイロードは被害者のAWS認証情報にアクセスしながら実行されます」
リポジトリが開かれ拡張機能が初期化される際、開発者がソースコードを確認する前にサイレントで実行が行われるため、「従来のコードレビュープロセスではほとんど防御できません」と同氏はDark Readingに語っています。
さらに同氏は、この脆弱性の悪用から生じるその他の潜在的な悪意あるシナリオとして、バックドアのIAMユーザー・アクセスキー・インフラを通じたクラウドへの永続的な不正アクセス、継承されたVPN・ネットワークコンテキスト経由による内部サービスへのアクセス、人気プロジェクトのメンテナーを標的にしたサプライチェーン攻撃、開発者が本番システムへのアクセス権を持つ場合のラテラルムーブメント(横断的移動)なども挙げています。
WizはこのThis脆弱性の概念実証(PoC)エクスプロイトを検証し、「aws sts get-caller-identity」コマンドによって開発者のアクティブなAWSセッションの取得に成功したことを確認しました。これにより、攻撃者がコード実行からクラウドの侵害へとエスカレートできることが実証されました。
AIコーディングアシスタントとMCPサーバーのセキュリティ確保
CVE-2026-12957については、AWSのアップデートが適用済みであるため、AWS Language Serverバージョン1.65.0以降を使用しているユーザーは即座の対応は不要です。ただしDokhanian氏は、AIコーディングアシスタントが開発者のワークフローに深く組み込まれるにつれ、この脆弱性が示すリスクは増大していると説明しています。
「これらのツールは今や信頼された開発者環境にアクセスできるようになっており、攻撃者にとって格好の標的となっています」と同氏は述べています。「これらのツールは今や信頼された開発者環境にアクセスできるようになっており、攻撃者にとって格好の標的となっています」
サイバーセキュリティ企業TumerykのCEOであるRohit Valia氏も、AIコーディングアシスタントは正規の攻撃対象領域として台頭しており、企業全体のセキュリティを整備するうえで防御側も考慮すべき存在になっていると指摘しています。
「組織は、環境にアクセスできるすべてのAIツールを潜在的な認証情報窃取経路として扱う必要があります」と同氏は述べています。「プロンプトとレスポンスのリアルタイムリスクスコアリングによる継続的な可視性を確保し、承認されたアクションでない限りすべてのAIツールの使用をブロックするAIガードレールを整備することが必要です」
Dokhanian氏もこの見解に同意し、AIアシスタントの能力が高まるにつれて「オペレーティングシステム、ブラウザ、その他の中核的な開発者インフラと同等のセキュリティ上の厳格さをもって評価されるべきです」と述べています。
また防御側は、MCPの同意プロンプトを慎重に確認し、Amazon Qやその他のAIコーディングアシスタントが「信頼されていないMCPサーバー」という警告を表示した場合は、許可する前にコマンドを精査すべきです。Wizによれば、組織はさらに環境内のMCPサーバーの設定を見直してMCP設定を監査し、セキュリティ上の問題が生じていないことを確認する必要があります。
Dark Reading Confidentialの最新ポッドキャスト、「CISOには行動規範が必要か?」をお見逃しなく。キックバック、幽霊従業員、「怪しい」ベンチャーキャピタル、棚ざらしのソフトウェアーー業界の専門家Robert “RSnake” Hansen氏が、CISOの行動規範が今こそ必要な理由を解説します。企業、さらには国家のセキュリティをリスクにさらしかねない利益相反行為を防ぐために何が必要か。今すぐ聴く!
翻訳元: https://www.darkreading.com/cloud-security/amazon-q-vs-extension-flaw-leads-cloud-credential-theft
