AWSの新たなセキュリティ課題

最近の調査によると、AWSの各種サービス（Amazon SageMaker、AWS Glue、Amazon EMRなど）で利用されるデフォルトのS3バケットに対するアクセス権限が見直され、従来の利用限界が問題視されています。これにより、攻撃者が他のサービスを介してデータに不正アクセスする可能性があることが確認されました。

攻撃者の新たな手法

特にAmazon SageMakerのようなサービスでは、ある種の悪意あるモジュールをインストールすることで、攻撃者が間接的にデータへのアクセスを試みる手法が明らかになりました。このような攻撃方式では、AWS GlueやAmazon EMR等のサービスを通じて、深刻なセキュリティリスクが生まれることが指摘されています。

Aqua Securityによる調査結果

セキュリティ企業Aqua Securityは、この問題について迅速に対応し、Amazon SageMakerやAWS Glue、Amazon EMR内でのS3バケットへのアクセス権限が正確に管理されていないことを報告しました。特に、S3バケットの命名規則が予測可能であるため、攻撃者がサービス間の隔離を突破するリスクが増大しています。

ユーザーへの影響と対策

AWSは、これらの情報を受けて、Amazon SageMakerやAWS Glue、Amazon EMRでの初期設定時に付与されるS3バケットへのアクセス権限を見直し、適切なスコープで制限する方向で進んでいます。また、Amazon Lightsailの機能も更新し、より高いレベルのセキュリティを提供するよう努めています。

今後の対応と注意点

AWS環境を運用するユーザーは、これらのリスクを理解し、S3権限の管理に注視する必要があります。特にIAMロールやS3のアクセス権限を定期的に見直し、最小権限の原則に従った管理を行うことが重要です。注意を怠ると、データ漏洩や不正アクセスのリスクが高まります。