AWSアカウント(IAM アカウント)は秘密情報か? これは長年議論の的になっているトピックのひとつだ。AWS の公式見解は「扱いに注意すべきだが秘密情報ではない」としている。アカウント名やログイン ID は、悪い人間に知られて良いことはないが、そもそも秘密情報としての運用設計がなされたものではない。
では、アカウント名にはどのような脆弱性があるのだろうか。AWS アカウントについての脆弱性を研究したエンジニアがいる。Aqua Security の研究者(Yakir Kadkoa 氏 、Michael Katchinskiy 氏、Ofek Itach 氏)が、AWS アカウントに関する脆弱性とそれを利用することで成立する AWS のシャドーリソースを使った攻撃方法を発見し、詳細を BlackHat USA 2024 で発表した。本稿では同講演をベースに要点を紹介する。
●AWSのシャドーリソースとは?
AWS をはじめとするクラウドプラットフォームにおいて、最初の突破口は正規ユーザーのアカウント情報、またはシステムが認証プロセスで利用するセキュリティキーや認証キーだろう。この情報を得るため、フィッシングやリスト攻撃は進化を遂げてきた。とくにフィッシングメール、フィッシングサイトはほぼ日常の光景となってしまった感がある。だが、システムの埋もれた脆弱性やトリッキーなハッキング手法を使った攻撃もいまだ健在である。 Black Hat USA での発表はまさにこうした「ハッキングらしいハッキング」の事例だった。
この攻撃のポイントは、AWS におけるシャドーリソースの存在だ。たとえば「シャドー IT」は、システム管理者やセキュリティ部門が把握できない私物 IT 機器のことを指す。セキュリティ対策視点では、これらは排除すべきものだが、クラウド環境、リモートワークのような現状を考えると、可用性の面から受け入れざるを得ないのも事実だ。
AWS のシャドーリソースとは、AWS のサービス機能や仕様によって(ほぼ)暗黙のうちに生成されるシステムリソースやインスタンスのことだ。ユーザーの介入なしに生成され、多くは通知や告知もない。AWS の場合、ユーザーはほぼシステム開発や運用を担当するエンジニアだ。情シス部門の担当者であることもある。つまり、AWS が自動的に生成するリソースは把握できない点でシャドー IT の要件を備えていることになる。
