AWS環境を標的とした新たな「whoAMI攻撃」が見つかる 具体的な保護策は？：セキュリティニュースアラート

Datadogは、Amazon EC2インスタンス向けの仮想マシンイメージ「Amazon Machine Image」を悪用した「whoAMI攻撃」を発表した。この攻撃は名前の混同を悪用し、不正なコード実行を可能にするという。

[後藤大地，有限会社オングス]

　Datadogは2025年2月12日（現地時間、以下同）、「Amazon EC2」インスタンス向けの仮想マシンイメージ「Amazon Machine Image」（以下、AMI）を悪用したセキュリティリスク「whoAMI攻撃」を発表した。

　クラウドにおける名前の混同を悪用する攻撃とされ、適切な対策が講じられていない場合、誤った設定を利用してAWS（Amazon Web Services）アカウントで不正なコードが実行される危険性がある。

AWS環境の名前混乱を悪用した「whoAMI攻撃」　具体的な保護策は

　whoAMI攻撃は名前混乱攻撃（NCA）の一種とされ、信頼できないAMIを誤って使用することで発生する。具体的にはAWSのEC2インスタンスを作成する際、AMIの検索において「owners」属性を指定しない場合、攻撃者が意図的に作成した悪意あるAMIを利用してしまう危険がある。この結果、攻撃者は対象のAWS環境でコードを実行する権限を得る可能性がある。

　Datadogの調査では、AWSを利用する企業の約1％がこの脆弱（ぜいじゃく）性の影響を受ける可能性がある。さらにAWS自身の内部非本番システムがこの攻撃に対して脆弱とされ、攻撃者が内部AWSシステムのコンテキストでコードを実行できる状態にあることが確認されている。この問題を受け、AWSは2024年12月1日に「Allowed AMIs」と呼ばれる新機能を導入し、信頼できるAMIの提供元を制限できる仕組みを提供している。

　また、Datadogはこの脆弱性を検出するためのオープンソースツール「whoAMI-scanner」を「GitHub」に公開している。企業や開発者はこのツールを利用することで、自社のAWS環境内で不正なAMIが使用されていないかどうかを確認できる。

　クラウドのセキュリティは利用者の設定に大きく依存する。whoAMI攻撃はAWS環境における設定ミスを悪用した新たな攻撃手法であり、多くの企業が潜在的なリスクを抱えている。AWS環境を利用している企業は自社のAMI管理方法を見直し、適切な設定を講じることが推奨される。