初版発行日: 2022 年 1 月 13 日 午後 1 時 (PST)
最近、セキュリティの研究者から、AWS Glue のサービスとしてアクションが実行できるようになっているという問題が報告されました。AWS Glue の機能を利用して、研究者は、サービス自体に固有の認証情報を取得し、AWS 内部の設定ミスにより、研究者がこれらの認証情報を AWS Glue のサービスとして使用することができるようになっていました。AWS Glue のサービスを利用していないお客様に影響を及ぼすためにこの事象が悪用された可能性はありません。
お客様によるご対応は不要です。
AWS では、報告を受けた時点で直ちに、この問題を是正するための対応に乗り出しました。当社では、サービスの開始時点から現在までのログを分析し、この問題に関係するのが、当該研究者が所有するアカウント間におけるアクティビティのみであると結論付けました。 他のお客様のアカウントに影響はありませんでした。AWS Glue がお客様のアカウントで実行したすべてのアクションは、お客様が管理および表示できる CloudTrail レコードに記録されます。
この問題をご報告いただいた Orca Security に感謝いたします。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。