WhoAMI 攻撃

サイバーセキュリティ研究者は、「whoAMI」と呼ばれる新しい名前混乱攻撃を発見しました。この攻撃により、脅威アクターは特定の名前で Amazon Machine Image (AMI) を公開することにより、Amazon Web Services (AWS) アカウント内でコードを実行できるようになります。この脆弱性は、何千もの AWS アカウントへの不正アクセスを可能にする可能性があるため、重大な影響を及ぼします。

誤って設定された AMI 検索の悪用

この攻撃の核心は、サプライ チェーンを操作する戦術にあります。脅威となる AMI を展開し、誤って構成されたソフトウェアを騙して、正規のバージョンの代わりにそれを使用するように仕向けます。この脆弱性は、プライベート コード リポジトリとオープン ソース コード リポジトリの両方に存在するため、広く懸念されています。

攻撃の仕組み

AWS では、Elastic Compute Cloud (EC2) インスタンスを起動するために使用される仮想マシンイメージである AMI を誰でも公開できます。この攻撃は、開発者が ec2:DescribeImages API を使用して AMI を検索するときに --owners 属性を指定し忘れる可能性があることを悪用します。

この攻撃が成功するには、以下の条件を満たす必要があります。

• AMI 検索は名前フィルターに依存します。
• 検索では、所有者、所有者エイリアス、または所有者 ID パラメータは指定されません。
• リクエストは、最後に作成されたイメージ (most_recent=true) を取得します。

これらの条件が揃うと、攻撃者はターゲットの検索パターンに一致する名前を持つ不正な AMI を作成できます。その結果、攻撃者の侵害された AMI を使用して EC2 インスタンスが起動され、リモート コード実行 (RCE) 機能が付与され、エクスプロイト後のアクティビティが可能になります。

依存性混乱攻撃との類似点

この攻撃は、安全でないソフトウェア依存関係 (pip パッケージなど) が正当な依存関係に置き換わる依存関係混乱攻撃と類似しています。ただし、whoAMI 攻撃では、侵害されたリソースはソフトウェア依存関係ではなく、仮想マシン イメージです。

Amazonの対応とセキュリティ対策

2024 年 9 月 16 日にこの攻撃が公表された後、Amazon は速やかに対応し、3 日以内に問題に対処しました。Apple も、所有者値を指定せずに ec2:DescribeImages API を通じて AMI ID を取得する顧客が危険にさらされていることを認めています。

この脅威を軽減するために、AWS は 2024 年 12 月に「許可された AMI」と呼ばれる新しいセキュリティ機能を導入しました。このアカウント全体の設定により、ユーザーは AWS アカウント内での AMI の検出と使用を制限できるため、攻撃対象領域が大幅に減少します。セキュリティ専門家は、AWS のお客様がこの新しい制御を評価して実装し、クラウド環境を名前の混乱攻撃から保護することを推奨しています。