AWS シャドーリソース攻撃とは | ScanNetSecurity
2026.07.02(木)

AWS シャドーリソース攻撃とは

AWSアカウントについて、脆弱性を研究したエンジニアがいる。Aqua Securityの研究者(Yakir Kadkoa氏、Michael Katchinskiy氏、Ofek Itach氏)が、AWSアカウントに関する脆弱性とそれを利用することで成立するAWSのシャドーリソースを使った攻撃方法を発見した。

研修・セミナー・カンファレンス セミナー・イベント
Aqua Security:Yakir Kadkoa氏
Aqua Security:Yakir Kadkoa氏 全 6 枚 拡大写真

 AWSアカウント(IAM アカウント)は秘密情報か? これは長年議論の的になっているトピックのひとつだ。AWS の公式見解は「扱いに注意すべきだが秘密情報ではない」としている。アカウント名やログイン ID は、悪い人間に知られて良いことはないが、そもそも秘密情報としての運用設計がなされたものではない。

 では、アカウント名にはどのような脆弱性があるのだろうか。AWS アカウントについての脆弱性を研究したエンジニアがいる。Aqua Security の研究者(Yakir Kadkoa 氏 、Michael Katchinskiy 氏、Ofek Itach 氏)が、AWS アカウントに関する脆弱性とそれを利用することで成立する AWS のシャドーリソースを使った攻撃方法を発見し、詳細を BlackHat USA 2024 で発表した。本稿では同講演をベースに要点を紹介する。

●AWSのシャドーリソースとは?

 AWS をはじめとするクラウドプラットフォームにおいて、最初の突破口は正規ユーザーのアカウント情報、またはシステムが認証プロセスで利用するセキュリティキーや認証キーだろう。この情報を得るため、フィッシングやリスト攻撃は進化を遂げてきた。とくにフィッシングメール、フィッシングサイトはほぼ日常の光景となってしまった感がある。だが、システムの埋もれた脆弱性やトリッキーなハッキング手法を使った攻撃もいまだ健在である。 Black Hat USA での発表はまさにこうした「ハッキングらしいハッキング」の事例だった。

 この攻撃のポイントは、AWS におけるシャドーリソースの存在だ。たとえば「シャドー IT」は、システム管理者やセキュリティ部門が把握できない私物 IT 機器のことを指す。セキュリティ対策視点では、これらは排除すべきものだが、クラウド環境、リモートワークのような現状を考えると、可用性の面から受け入れざるを得ないのも事実だ。

 AWS のシャドーリソースとは、AWS のサービス機能や仕様によって(ほぼ)暗黙のうちに生成されるシステムリソースやインスタンスのことだ。ユーザーの介入なしに生成され、多くは通知や告知もない。AWS の場合、ユーザーはほぼシステム開発や運用を担当するエンジニアだ。情シス部門の担当者であることもある。つまり、AWS が自動的に生成するリソースは把握できない点でシャドー IT の要件を備えていることになる。


《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. メール配信システム「める配くん」の一部サーバに不正アクセス、情報漏えいと考えられる痕跡を確認

    メール配信システム「める配くん」の一部サーバに不正アクセス、情報漏えいと考えられる痕跡を確認

  2. アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

    アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

  3. 2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

    2りんかんイエローハットに不正アクセス、310万名分の個人情報が漏えい

  4. 顔写真公開まで 2 週間のカウントダウン:オランダ警察のクラウドソーシング型犯罪者狩りゲーム「Game Over?!」

    顔写真公開まで 2 週間のカウントダウン:オランダ警察のクラウドソーシング型犯罪者狩りゲーム「Game Over?!」

  5. 個人情報漏えい等 4,602 件、大半は病院・薬局の「誤交付」~ 個人情報保護委員会、令和 7 年度 4Q 状況を公表

    個人情報漏えい等 4,602 件、大半は病院・薬局の「誤交付」~ 個人情報保護委員会、令和 7 年度 4Q 状況を公表

ランキングをもっと見る
PageTop