概要
セキュリティ研究企業Wizは、AWSコンソールに「CodeBreach」と名付けられた致命的な脆弱性を発見しました。この脆弱性は、AWSコンソールを支える主要なAWS GitHubリポジトリ、特にAWS JavaScript SDKを危険にさらし、大規模なサプライチェーン攻撃につながる可能性があったと警告されています。このSDKは、クラウド環境の約3分の2にインストールされています。
脆弱性の詳細
Wizの報告によると、この問題は、リポジトリのAWS CodeBuild CIパイプラインがビルドトリガーを処理する方法における微妙な欠陥に関連していました。具体的には、正規表現フィルターにわずか2文字が欠落していたことで、認証されていない攻撃者がビルド環境を侵害できる状態になっていました。
Wizの脆弱性研究者であるYuval Avrahami氏は、次のように述べています。「攻撃者がリポジトリを制御できれば、SDKにバックドアを仕込み、それを使用する何百万ものアプリケーションから資格情報や機密データを盗んだり、AWSコンソール自体を標的にしてクラウドインフラを操作したりすることが可能でした。これは、AWSユーザー全体に影響を及ぼすプラットフォーム全体の侵害にエスカレートした可能性があります。」
発見と対応
Wizの研究者らは2025年8月にこの脆弱性をAWSに開示し、AWSは直ちに問題の修正に取り組みました。特定の強化策が講じられ、その中には「Pull Request Comment Approval」というビルドゲートの実装も含まれており、これにより信頼できないビルドを防ぐ安全な方法が提供されます。
広範な影響と推奨事項
この脆弱性は、2025年8月に発生した悪意のあるNxビルドシステムパッケージが公開されたNx S1ngularityサプライチェーン攻撃と同様のリスクをもたらすとWizの研究者は指摘しています。この問題は、Amazon Q VS Code拡張機能に対するサプライチェーン攻撃の試みが調査された後に発見されましたが、現在のところ、この構成の誤用が攻撃に利用された証拠はありません。
ユーザーに直ちに必要な対応はありませんが、Wizの研究者は以下の措置を推奨しています。
- 各CodeBuildプロジェクトに対して固有の個人アクセストークンを作成する。
- 前述の「Pull Request Comment Approval」ビルドゲートを有効化する。