ハッカーにAmazon Web Services(AWS)の完全な制御を与えかねない重大なセキュリティホールが、実際に悪用されて被害が出る前に最近修正されました。Wiz Researchによるこの発見は、彼らが「歴史的なニアミス」と呼んだ事態を未然に防ぎ、日々クラウドに依存する何百万もの企業や人々を守りました。
2文字のミス
研究者がCodeBreachと名付けたこの脆弱性は、AWS CodeBuildというツールの内部で見つかりました。技術的に言えば、このツールはサプライチェーンの一部であり、これは基本的に、開発者の生のコードを完成したソフトウェア製品へと変換する自動化された一連の手順を指します。このケースでは、欠陥がAWSコンソールのエンジンとして機能する重要なライブラリであるAWS JavaScript SDKを直撃しました。
ご存じのとおり、コンソールはユーザーがクラウド環境全体を管理するための主要なダッシュボードです。このダッシュボードは動作のためにこの特定のライブラリに依存しているため、ここに欠陥があると管理プラットフォーム全体が危険にさらされることになります。
問題の根本は驚くほど単純で、セキュリティフィルターに2文字が欠けていたことに起因していました。このフィルターは、どのコード更新が安全に実行できるかを判断するために検索パターン(Regexとして知られる正規表現)を使用していましたが、その2文字が欠けていたため、フィルターが適切にアンカーされていませんでした。
研究者によると、これにより「ビルド環境に侵入し、特権資格情報を漏えいさせる」ことが可能になったといいます。さらに調査を進めたところ、その資格情報を入手できれば、ソフトウェアリポジトリ全体を乗っ取ることもできた可能性があることが判明しました。
世界的危機の回避
もし悪意ある攻撃者が先にこれを見つけていたら、AWSインフラに直接バックドアコードを注入できた可能性があります。Hackread.comとこの研究を共有したWizは、ブログ投稿の中で、この攻撃の規模は悪名高いSolarWinds侵害を上回っていた可能性があると指摘しました。
研究者によると、彼らは2025年8月25日にこの問題をAmazonへ通知しました。AWSは迅速に対応し、48時間以内に主要な問題を修正し、その後まもなく世界規模のセキュリティ改善を展開しました。通常のAWSユーザーであれば、何か対応する必要はありません。Amazonが自社側で既に後始末を完了しています。
開発者への教訓
この特定の火種は消し止められたものの、研究者は「小さなこと一つが、とてつもなく大きな破綻につながり得る」ため、この種のリスクは増加していると指摘しました。これは、昨年7月にAmazon Q拡張機能をめぐって起きた類似の事案とも一致します。
安全を保つために、Wiz ResearchはCodeBuildを利用している人はPull Request Comment Approvalゲートを有効にすることを推奨しています。これにより、信頼できる人間がリクエストをレビューするまで、自動ビルドが開始されないようにできます。
翻訳元: https://hackread.com/how-2-missing-chars-compromised-aws/
