世界中をパニックに陥れる寸前だった AWSの重大な脆弱性とは

AWSのCIパイプラインに重大な脆弱性が見つかった。わずか2文字の誤りが大規模なサプライチェーン攻撃を招く恐れがあった。現在までにこの脆弱性を悪用した攻撃は確認されておらず、AWSは再発防止策を講じている。

[David Jones，Cybersecurity Dive]

　「Amazon Web Service」（AWS）に重大な脆弱（ぜいじゃく）性が見つかった。アプリケーションから認証情報を抜き取ったり、機密情報を盗み出したりできる脆弱性だ。

　クラウドセキュリティプラットフォームを提供するWizが2026年1月15日（現地時間、以下同）に公開したレポートによると（注1）、セキュリティ研究者が指摘したのはAWSのコンソールにおける重大な脆弱性であり、大規模なサプライチェーン攻撃につながる可能性があったという。

世界中をパニックに陥れる寸前だった　AWSの重大な脆弱性とは

　Wizによると、この脆弱性「CodeBreach」は、AWSのマネジメントコンソールを動かしている「AWS JavaScript SDK」などの中核となるGitHubリポジトリを攻撃者が乗っ取ることに使われる恐れがあったようだ。このSDKは、世界中のクラウド環境のおよそ3分の2で使われている。

　Wizの研究者は2025年8月にこの脆弱性をAWSへ報告済みであり、AWSは直ちに問題の修正に取り組んだという。再発防止のため、AWSはセキュリティ強化策を実施しており、その一つとして「Pull Requestのコメント承認」をビルドの条件とする仕組みを導入した。これにより、信頼できないコードがビルドされるのを防ぐ、安全な仕組みが整えられたとWizは説明している。

　Wizのユヴァル・アヴラハミ氏（脆弱性研究者）によると、この問題は、GitHubのリポジトリで使われている「AWS CodeBuild」のCI（継続的インテグレーション）パイプラインにおいて、ビルドの実行条件を扱う仕組みに潜んでいた非常に分かりにくい欠陥に起因していたという。正規表現のフィルターに、たった2文字が抜けていただけだった。これだけで認証されていない攻撃者でもビルド環境に侵入できる可能性が生まれ、その結果、コードリポジトリ自体を乗っ取られる恐れがあったという。

　アヴラハミ氏は『Cybersecurity Dive』に対して、電子メールで次のように回答した。

　「リポジトリを一度掌握してしまえば、攻撃者はSDKにバックドアを仕込み、それを利用する数百万のアプリケーションから認証情報を収集したり、機密データを外部に持ち出したりすることができた可能性があった。また、AWSのコンソール自体を標的にして、クラウドインフラを操作することも考えられる。その結果、AWSのユーザーに世界規模で影響を及ぼすようなプラットフォーム全体への侵害に発展する可能性があった」

　Wizの報告を受けてAWSは調査を開始し、顧客のクラウド環境やAWSのサービスについて、データの機密性や正確性に影響はなかったことを確認した。また、今回の指摘に関連する将来のリスクを防ぐため、認証情報の更新やAWSが管理する他のオープンソースリポジトリの監査などの追加の対策を実施したとしている。

　AWSは潜在的なリスクに関連して実施した複数の対応策をまとめたセキュリティ情報を発表した（注2）。

　研究者は、「Amazon Q」の「VS Code」拡張機能を狙うサプライチェーン攻撃の試行を受けて、問題を詳しく調査した。この件については、2025年7月の勧告によってすでに対応がなされている（注3）。なお、今回の設定ミスが実際の攻撃に悪用された証拠は確認されていない。

　Wizの研究者は「この脆弱性には、2025年8月に発生した『Nx S1ngularity』のサプライチェーン攻撃と同様のリスクがある」と述べた（注4）。この攻撃では、「Nx」というビルドシステムのパッケージの悪質な改ざん版が公開され、多くの利用者に影響を与えた。

パイプライン処理に潜む危険性

　セキュリティアナリストは今回の発見によりサプライチェーンリスクにおける新たな危険が浮き彫りになったと指摘した。

　調査企業Forrester Researchでセキュリティとリスクを担当するジャネット・ワージントン氏（シニアアナリスト）は、Cybersecurity Diveに次のように語った。

　「Amazon Qの事案では、不備のあるWebhookによって、AWSが公開したVS Code拡張機能に認可されていないコードの注入が可能になっていた。こうした問題は、見落とされがちなパイプラインの処理ロジックがいかに大きなリスクになるのかを示している。認証情報の管理やマルウェア検知といった従来の防御策をすり抜けてしまう点が特に深刻だ」

　利用者が直ちに対応する必要はないが、Wizの研究者は、CodeBuildのプロジェクトごとに固有のパーソナルアクセストークンを作成することを推奨している。また、前述したPull Requestのコメント承認によるビルドゲートを有効化すべきだとしている。

出典：Critical flaw in AWS Console risked compromise of build environment（Cybersecurity Dive）
注1：CodeBreach: Infiltrating the AWS Console Supply Chain and Hijacking AWS GitHub Repositories via CodeBuild（Wiz）
注2：CodeBuild のアンカーされていない ACCOUNT_ID Webhook フィルター（AWS）
注3：Amazon Q Developer for Visual Studio Code Extension のセキュリティ更新 (バージョン #1.84)（AWS）
注4：s1ngularity: supply chain attack leaks secrets on GitHub: everything you need to know（Wiz）

原文へのリンク