発行日: 2024 年 6 月 11 日 午前 10 時 30 分 PDT
AWS は、Amazon Elastic Compute Cloud (Amazon EC2) VM Import Export サービス (VMIE) に関する問題を認識しています。AWS は、この問題に 2024 年 4 月 12 日に対処し、新しい Windows OS のインポートに影響がないことを確認できました。
EC2 VMIE サービスを使用して Windows OS を使用する VM をインポートする場合、お客様はオプションで独自の Sysprep 応答ファイルを使用できます。2024 年 4 月 12 日以前、お客様が Windows OS を使用する VM をインポートして AMI またはインスタンスとして使用した場合、EC2 VMIE サービスにおいて、ファイルに含まれていた機密データが削除されずに応答ファイルの同一のバックアップコピーが作成されるという問題がありました。このバックアップファイルにアクセスできるのは、お客様が提供した応答ファイルにアクセスする権限を持つインスタンス上の Windows ユーザーだけです。
この方法で EC2 VMIE サービスを使用したお客様には、Sysprep に関連付けられた次の場所で、.vmimport で終わるファイル名を確認することをお勧めします。
- C:\
- C:\Windows\Panther\
- C:\Windows\Panther\Unattend\
- C:\Windows\system32\
- C:\Windows\system32\sysprep\Panther\Unattend\
.vmimport ファイルを特定したら、アクセスを必要なユーザーアカウントに制限するか、インポートした EC2 インスタンスまたは影響を受けた AMI から起動したインスタンスのバックアップファイルを完全に削除します。これらのアクションのいずれかを実行しても、EC2 インスタンスの機能には影響しません。影響を受けた AMI を使用して起動した新しい EC2 インスタンスはこの問題の影響を受けるため、影響を受けた AMI を削除し、EC2 VM Import Export (VMIE) サービスを使用して新しい AMI を作成して仮想マシンを再度インポートするか、EC2 API/コンソールを使用して、修正が適用された EC2 インスタンスから新しい AMI を作成することをお勧めします。
EC2 VMIE サービスを使用して Windows OS をインポートする前に Sysprep 応答ファイルへのアクセスを制限していた場合、または 2024 年 4 月 12 日以降に EC2 VMIE サービスを使用して任意の AWS リージョンで Sysprep 応答ファイルの有無に関わらず Windows OS をインポートした場合、アクションは必要ありません。
責任を持ってこの問題を AWS に開示した Immersive Labs に感謝します。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までお問い合わせください。