AWSのセキュリティツールが逆にセキュリティリスクを導入した件:クロスアカウント権限昇格の危険性を解剖 この記事では、AWSが開発したアカウント評価ツール「Account Assessment for AWS Organizations」が、実際にはクロスアカウントの権限昇格リスクを引き起こしていたという現実的なケースを掘り下げます。このツールの展開指示が不十分であったため、ユーザーは低セキュリティのアカウントから高セキュリティのアカウントへの信頼パスを無意識に作成していました。具体的には、開発アカウントにハブロールを展開することで、プロダクションや管理アカウントへのアクセス権限が悪用される可能性がありました。 影響を受けた組織は、このツールが展開されているアカウントが攻撃者の標的になる可能性があるため、注意が必要です。対策方法や詳細な分析も紹介します。
AWSは、アカウントのクロスアカウントアクセスをチェックするツール「Account Assessment for AWS Organizations」を開発しましたが、その展開指示により新たなセキュリティリスクを導入してしまいました。2025年1月28日以前にデプロイされた組織は、依然として危険にさらされている可能性があります。 概要 AWSが開発した「Account Assessment for AWS Organizations」は、組織内のアカウントを中央から評価・管理するために設計されました。主な使用目的は、企業の合併・買収、セキュリティ監査、中央でのポリシーの一元管理などです。しかし、その展開手順がセキュリティリスクを引き起こすことが判明しました。 問題の発見 この問題は、顧客のAWS環境における重要な権限エスカレートリスクを調査している最中に発見されました。顧客のプロダクションおよびマネジメントアカウントに存在するIAMロールが、開発アカウント内の2つのロールを信頼していました。これらのロールには、敏感なデータに関連するAPI呼び出しのアクセスが付与されており、すべてのリソースに対して有効でした。開発アカウントのセキュリティが弱いことから、攻撃者がこの開発アカウントロールを侵害すれば、プロダクションやマネジメントアカウントにもアクセスできる可能性が高まりました。 アカウント評価ツールの展開手順 AWSの公式ドキュメンテーションでは、「Hub stack - Deploy to any member account in your AWS Organization except the Organizations management account」という指示が記載されていました。これは、管理アカウント以外のメンバーアカウントにHubをデプロイするよう推奨しています。これにより、ユーザーはしばしば開発、サンドボックス、または他の低感度アカウントにHubを配置し、高感度アカウントへの直接的な信頼パスが形成されてしまいました。 セキュリティリスク 開発アカウントにHubをデプロイすることで、攻撃者はそのアカウントを侵害後、マネジメントやプロダクションアカウントのロールを引き受けることができます。AWSはワークロードを管理アカウントで実行しないよう強く助言しているため、Hubを管理アカウントに配置するのも理想的な解決策ではありません。最も安全な選択肢は、管理アカウントと同じレベルのセキュリティを持つ centrailized DevOps または Infrastructure アカウントにHubを配置することですが、このようなアカウントがない組織は、デプロイの段階で常にリスクを抱えることになります。 影響と対処方法 2025年1月28日以前にこのツールをデプロイした組織は、Hubが管理アカウントより低感度なアカウントに配置されている場合、セキュリティリスクを抱えています。影響を受けているかどうかの検出方法は以下です: 1. デプロイ時刻の確認:CloudFormationスタックのCreateDateプロパティを確認し、2025年1月28日前にデプロイされた場合は、Hubロールが高セキュリティアカウントにない限り削除することを強く推奨します。 2. アンインストール:AWSの公式アンインストールガイドに従って、Hub、Spoke、Org-ManagementコンポーネントのCloudFormationスタックを削除します。 3. 再デプロイ:ツールが必要な場合は、Hubロールを管理アカウントと同じ程度のセキュリティを持つアカウントに慎重にデプロイします。 AWSの対応 私たちはこの問題をAWSのセキュリティチームに報告し、すぐに調査が行われ、セキュリティ上の懸念が認知されました。AWSはドキュメンテーションを更新し、顧客に対してHubロールを高セキュリティアカウントにデプロイするよう明確に指示しました。AWSの迅速な対応やフィードバックへの開放的な态度、顧客セキュリティ改善へのコミットメントを評価しています。 AWSの新しい指示: 更新されたドキュメンテーションページ:すべてのスキャンされるアカウントに相当するセキュリティレベルを持つアカウントにHubをデプロイすることを明示的にお勧めしています。 まとめ このブログシリーズでは、信頼ポリシーのリスクがどのようにWell-managed AWS環境に潜んでいるかを詳しく解説しました。信頼関係の保護はチェクリストの従うだけではなく、リアルワールドの信頼メカニズムの深い理解と対応が必要であることが明らかになりました。 Token Securityの機械学習を活用したアイデンティティセキュリティプラットフォームは、信頼ポリシーのリスクを自動的に検出します。AWSツールによる、人間のミス、または見落とされた設定によって引き起こされるリスクに対応し、組織がこれらのリスクを事前に避けるのに役立ちます。興味がありましたら、デモを予約して、私たちがどのようにサポートしているかをお見せしましょう。 業界関係者のコメント AWSのセキュリティチームは、この問題に対しても速やかに対応し、お客様のセキュリティを強化するために最善を尽くしている点は非常に評価できます。しかしこちらの事例は、即便是大手クラウドプロバイダーであっても、セキュリティに関する細かな注意が必要だということを示しています。Token Securityは、このようなリスクを未然に防ぐための高度なアノマリ検出機能を提供しており、企業のクラウドセキュリティ体制強化に貢献しています。
