速報 ID: 2026-002-AWS
対象範囲: AWS
コンテンツタイプ: 情報提供
発行日: 2026 年 1 月 15 日 午前 7 時 3 分 PST
 

説明:

セキュリティ研究チームにより、AWS が管理する次のオープンソース GitHub リポジトリに影響を及ぼす設定の問題が特定されました。この問題によって不適切なコードが導入される可能性がありました。

• aws-sdk-js-v3
• aws-lc
• amazon-corretto-crypto-provider
• awslabs/open-data-registry

具体的に説明すると、上記リポジトリでは、信頼されたアクター ID の制限を意図する AWS CodeBuild Webhook フィルターに設定された正規表現が不十分であり、予測的に取得されたアクター ID による該当リポジトリの管理者権限の取得が可能になっていたことが明らかになりました。この問題は、これらのリポジトリの Webhook アクター ID フィルターにおけるプロジェクト固有の設定ミスであり、CodeBuild サービス自体の問題ではないことが確認できています。研究者は、1 つのリポジトリに不適切なコードをコミットするためのアクセスを慎重に実証し、研究活動とその潜在的な悪影響を AWS Security に速やかに通知しました。

このセキュリティ研究活動中、いずれの該当リポジトリにも不適切なコードは導入されておらず、これらの活動は AWS のお客様の環境、および AWS のサービスやインフラストラクチャのいずれにも影響を及ぼしていません。お客様による対応は不要です。

AWS は、この研究で明らかにされ、報告されたすべての懸念事項を直ちに調査し、修正しました。特定されたリポジトリの不十分な正規表現に起因するアクター ID フィルターのバイパスという中核問題は、当初の開示時点から 48 時間以内に緩和されました。認証情報のローテーション、およびメモリに GitHub トークンやその他の認証情報が含まれる構築プロセスの保護の強化など、追加の緩和策も実装されました。

さらに、AWS は AWS が管理するその他すべてのオープンソース GitHub リポジトリの監査を実施して、このような設定ミスが AWS オープンソースプロジェクト全体において存在しないことを確認しました。最後に、AWS はこれらのパブリックビルドリポジトリのログ、および関連する CloudTrail ログの監査を実施して、この実証済みの問題を悪用した他のアクターが存在しないことを確認しました。

この研究は、ACTOR_ID フィルターに基づくアクセス制御の範囲が適切であることと許可リストに登録された ID のみを許可するよう設定されていることを確実にするために AWS CodeBuild 環境を監査する重要性を強調しました。AWS ドキュメントに記載されているその他のセキュリティベストプラクティスに加えて、CodeBuild のプルリクエスト構築ポリシー機能を使用することによって、CI/CD セキュリティの懸念に対応する多層防御メカニズムを強化できます。

参考情報:

• Best practices for using webhooks with AWS CodeBuild
• Pull request comment approval

謝辞:

この問題を特定し、お客様の保護とセキュリティを引き続き確保するために責任を持って AWS と連携してくださった Wiz Security の研究チームに感謝いたします。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。