AWS ALBに脆弱性 1万5000以上のアプリケーションに影響：セキュリティニュースアラート

Miggo Securityが、AWSのアプリケーションロードバランサー（ALB）に重大なセキュリティ脆弱性が存在すると発表した。影響を受けるアプリケーションは1万5000以上に及ぶ。

[後藤大地，有限会社オングス]

　Miggo Securityは2024年8月20日（現地時間）、AWSのアプリケーションロードバランサー（ALB）に重大なセキュリティ脆弱(ぜいじゃく）性「ALBeast」があると発表した。ALBeastはALBを認証機能として使用するアプリケーションにおいて認証バイパスを可能にするものだ。影響を受けるアプリケーションは1万5000以上におよぶ。

AWS ALBの認証機能に隠れた脆弱性「ALBeast」

　ただし、AWSは脆弱性とは認めず、「サービスは意図された通りに動いている」と述べた。その理由は何か。また、ALBeastが悪用されるとどのような危険性があるのだろうか。　

　ALBeastはALBの認証メカニズムに依存しているインターネットに公開されたアプリケーションにおいて、攻撃者が認証や承認のプロセスをバイパスできる構成ベースの欠陥とされている。悪用された場合は不正アクセスやデータ侵害、情報漏えいといった深刻なセキュリティリスクを引き起こす可能性がある。

　攻撃者はまず自分のアカウントで認証が設定されたALBインスタンスを作成し、そのALBを使用してトークンに署名する。次にALBの設定を変更してトークンの発行者を偽装する。最後に偽造したトークンをターゲットのアプリケーションに使うことで認証がバイパスされてしまう。

　Miggo Securityはこのセキュリティ脆弱性をAWSのセキュリティチームに報告しており、AWSはALBの認証機能に関するドキュメントを更新するとともに新たなコードを追加した。このコードにはトークンに署名するAWS ALBインスタンス（署名者）を検証する実装が含まれている。さらにAWSのセキュリティグループによるベストプラクティスも明確化され、ALBからのトラフィックのみを受信するように制限することが推奨されている。

　AWSはドキュメントを更新するとともに新たなコードを追加し、セキュリティグループのベストプラクティスを明確化した。AWSは発行者を偽造できることをALBのセキュリティ脆弱性とはみなしておらず、「サービスは意図した通りに動作している」と述べている。同社は顧客に「コードと設定が最新であるかどうかを確認することでこの問題を軽減できる」と説明している。

　Miggo Securityは、ALBeastのリスク軽減のために以下の対策を実施するよう推奨する。

• ALB認証機能を使用する全てのアプリケーションに対してトークン署名者を検証しているかどうかを確認すること
• アプリケーションがALBからのトラフィックのみを受け入れるように制限する設定すること