初回公開日: 2023 年 4 月 25 日午前 10 時 (米国東部標準時)
あるセキュリティ研究者の報告によると、AWS が最近リリースした (2022 年 11 月 16 日) IAM ユーザープリンシパル向けの複数の多要素認証 (MFA) デバイスで問題が見つかりました。報告された問題は、以下の 3 つの条件を満たした場合にのみ発生する可能性がありました: (1) ある IAM ユーザーが長期間のアクセスキー (AK)/シークレットキー (SK) の認証情報を所有していた、(2) その IAM ユーザーは、MFA を使用せず自分の ID に MFA を追加する権限を持っていた、(3) IAM ユーザーのコンソールサインイン以外の全体的なアクセス権限が、MFA を追加した後に拡大するよう管理者が設定していた。このような狭い条件下では、AK/SK のみを所持することは AK/SK および以前に設定された MFA を所有することと同じ状況にありました。
このため、自分の ID に関連付けられた MFA デバイスを追加または削除できる IAM ユーザーは、これまで常に AK/SK 認証情報だけでこれを実行できましたが、この新機能と IAM ユーザーによる自分の MFA デバイスの自己管理が組み合わさって、ユーザーが MFA を追加する前にアクセスが制限された際に問題が発生しました。この自己管理パターンはここにドキュメント化され、そのページにはパターンを実装するためのサンプル IAM ポリシーを含んでいました。新しい複数の MFA 機能の組み合わせは、そのアプローチと整合していませんでした。この新機能により、AK/SK 認証情報のみのユーザーは、以前に設定した MFA を使用せずに MFA を追加できるため、以前に設定した MFA を使用せずに AK/SK のみを所有できるようになり、サンプルポリシーを使用するお客様が予想していたよりも幅広いアクセスができるようになる可能性があります。
サインイン時には常に既存の MFA が必要なため、この問題は AWS マネジメントコンソールベースのアクセスには影響がありませんでした。また、ID プロバイダーを通じて MFA を管理するフェデレーテッドプリンシパルにも影響がありませんでした。
2023 年 4 月 21 日より、既に MFA を 1 つ以上持っていて、AK/SK 認証情報を使用して自分の MFA デバイスを管理している IAM ユーザーに、MFA デバイスを自分で有効化または無効化する前に、まず sts:GetSessionToken と既存の MFA を使用して MFA 対応の一時的な認証情報を取得し、CLI コマンドまたは API リクエストに署名することを義務付けることで、特定された問題を修正しました。以前 AWS マネジメントコンソール以外のメカニズムを使用して追加の MFA デバイスを関連付けていたごく少数のお客様には、Personal Health Dashboard を通じて直接通知しました。通知を受けたお客様は、MFA 構成が正しいかどうかを確認することをお勧めします。その他にお客様の操作は必要ありません。
この問題を特定し、責任を持って AWS に開示してくれた MWR Cybersec の研究者に感謝します。セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。