AWS Client VPNに脆弱性 特定のバージョンのWindows環境に影響：セキュリティニュースアラート

AWSはWindows版Client VPNクライアントに任意コード実行の恐れがある脆弱性CVE-2025-8069を公表した。特定ディレクトリが非管理者にも書き込み可能であり、細工されている設定ファイルにより意図しないコードが実行できたとしている。

[後藤大地，有限会社オングス]

　Amazon Web Services（AWS）は2025年7月23日（現地時間）、「Windows」版「AWS Client VPN」クライアントに関する脆弱（ぜいじゃく）性「CVE-2025-8069」を公表した。

　特定のインストールディレクトリにおいて非管理者ユーザーが任意のコードを配置できる問題だ。Windows環境でAWS Client VPNクライアントをインストールする際、OpenSSLの設定ファイルを「C:\usr\local\windows-x86_64-openssl-localbuild\ssl」ディレクトリから取得する仕様となっていた。

　このディレクトリは管理者権限を持たないユーザーであっても書き込み可能であり、ここに細工されている設定ファイルを置くことで、管理者権限によるインストール実行時に意図しないコードが実行される可能性があった。

AWS Client VPNに脆弱性　特定のバージョンのWindows環境に影響

　対象となるバージョンは4.1.0、5.0.0、5.0.1、5.0.2、5.1.0、5.2.0、5.2.1であり、これらのバージョンにおいてWindows環境が影響を受ける。「Linux」や「macOS」用クライアントは影響を受けない。問題の原因は特定のパスに依存した設定ファイルの読み込み方法に起因しており、環境の分離や権限の制御といったセキュリティ基本原則が十分に反映されていなかった点が脆弱性を生じさせている。

　この問題に対応するため、AWSは修正済みバージョン「5.2.2」をリリースした。これにより、OpenSSL設定ファイルの取り扱いが見直され、意図しないコード実行のリスクが排除された。ユーザーには5.2.2以前のバージョンを用いた新規インストールの中止が推奨されている。すでに影響を受けるバージョンを使用している場合でも、再インストールやバージョンアップを適用することでリスクを低減できる。

　脆弱性の発見と報告に当たっては、Zero Day Initiativeが協力しており、協調的な脆弱性公開プロセスに基づいてAWSと連携した対処が実施された。こうした外部セキュリティコミュニティーとの連携は、クラウドサービスの安全性確保において欠かせない手段の一つとなっている。問題発覚から対応完了までのスピード感も評価に値するものだ。

　AWS Client VPNは、エンドユーザーがAWSやオンプレミス環境に安全にアクセスするための重要な手段だ。Windowsを業務端末として使用する企業にとって、この種の脆弱性は情報漏えいや権限昇格といった重大なリスクにつながる恐れがある。早急なアップデートと既存のインストール方法や運用ポリシーについて見直しを検討しておきたい。

　今後も同様の問題を未然に防ぐためには、ソフトウェア設計段階での権限管理やパス構成の厳格な管理が不可欠だ。加えて、ユーザー自身によるバージョン確認やリリースノートの参照といった自主的なリスク管理も重要と言える。