WhoAMI 攻撃: AWS 環境を狙った名前混乱戦術

Table of Contents

クラウドセキュリティへの脅威

サイバーセキュリティ研究者は、whoAMI 攻撃と呼ばれる名前混乱の手法を発見しました。この手法では、偽の Amazon Machine Images (AMI) を公開することで、個人がAmazon Web Services (AWS)環境を操作できます。この手法により、攻撃者は特定の条件下で AWS アカウント内でコードを実行できる可能性があり、クラウドセキュリティの誤った構成に関する懸念が生じています。

whoAMI攻撃の仕組み

whoAMI 攻撃の本質は、正当なリソースを誤解を招くリソースに置き換えるというサプライチェーン操作の一種です。この攻撃では、AWS Elastic Compute Cloud (EC2) インスタンスの起動に使用される仮想マシンイメージである AMI が AWS コミュニティ AMI カタログから取得される方法が利用されます。

このエクスプロイトは、ソフトウェアスクリプトまたは自動化ツールが名前で AMI を検索したが、所有者や所有者 ID などの重要なパラメータを指定しなかった場合に機能します。このような場合、AWS API は、不明なエンティティによってアップロードされたものも含め、一致する名前を持つ複数の AMI を返すことがあります。検索ロジックがリストから最新のイメージを選択するように構成されている場合、攻撃者は同一の名前を持つ偽の AMI を公開し、信頼できる AMI ではなくその AMI が選択される可能性が高くなります。

AMI 選択の誤った設定の結果

攻撃者の AMI がターゲットの AWS 環境内に展開されると、リモートコード実行 (RCE) の機会が生まれます。つまり、攻撃者はインスタンスにアクセスして、次のような悪意のあるアクティビティをさらに実行できることになります。

許可されていないソフトウェアの導入
機密データの抽出
システム設定の変更
長期的な制御のための永続的なアクセスを確立する

AWS 環境はアプリケーション、データベース、企業インフラストラクチャのホスティングに広く使用されているため、悪用が成功すると、クラウドサービスに依存している企業に重大な影響を及ぼす可能性があります。

並行するサプライチェーンの脆弱性

whoAMI 攻撃は、ソフトウェア開発で見られる依存関係混乱の手法と類似点があります。依存関係混乱攻撃では、攻撃者は内部ソフトウェア依存関係と同じ名前のパッケージを公開し、ビルドシステムを騙して偽造パッケージをダウンロードさせます。同様に、whoAMI の場合、攻撃者は信頼できる AMI を類似のものに置き換え、クラウドホストシステム内に不正な変更を導入できるようにします。

検出と対応の取り組み

この問題を調査しているセキュリティアナリストは、AWS を使用している組織のごく一部がこの攻撃パターンの影響を受けていることを発見しました。この問題は 2024 年 9 月中旬に AWS に報告され、AWS は数日以内に対処しました。AWS は、この手法が承認されたセキュリティ研究活動以外で悪用されたことを示す証拠はないと述べています。

この発見を受けて、AWS は「許可された AMI」と呼ばれる新しいセキュリティ機能を導入しました。この設定により、ユーザーは自分のアカウント内で使用できる AMI を定義できるため、検証されていないイメージを誤って選択するリスクが軽減されます。さらに、Terraform などのインフラストラクチャアズコードツールは、AMI 所有者を指定せずに「most_recent = true」パラメータを使用すると警告を発するようになり、将来のバージョンではより厳格な検証を実施する予定です。