AWS サインインでの IAM ユーザーログインフローに関する問題 – ユーザー名の列挙の可能性 (CVE-2025-0693)
スコープ:AWS
コンテンツタイプ: 情報提供
公開日:2025年1月23日午後1時30分 (太平洋夏時間)
AWS Identity and Access Management (AWS IAM) サインインのログインフローで CVE-2025-0693 が特定されました。この問題により、ログイン試行中のサーバー応答時間を測定することによって脅威アクターが AWS IAM ユーザー名を列挙できる可能性があります。これらの応答時間にはばらつきがあるため、アクターは送信された AWS IAM ユーザー名がアカウントに存在するかどうかを識別できます。
しかし、ユーザー名情報だけでは、認証や AWS リソースへのアクセスを行うことはできません。アカウントにアクセスするには、アカウント識別子、ユーザー名、パスワード、多要素認証 (有効化されている場合) を含む完全な認証が必要です。さらに、AWS は複数の保護レイヤーを活用して、サインインエンドポイントの潜在的な悪用の監視と対応を行います。
影響を受けるバージョン:2025 年 1 月 16 日より前の AWS サインイン IAM ユーザーログインフロー。
解像度:
AWS では、すべての認証失敗シナリオで応答時間に遅延が生じるようにしました。この機能強化により、認証失敗の応答における有効なユーザー名と無効なユーザー名の間の時間的なばらつきがなくなるため、有効なユーザー名が列挙されるのを防ぐことができます。
お客様によるご対応は必要ありません。お客様は AWS CloudTrail を使用して、失敗したサインイン事象と成功したサインイン事象などのサインインアクティビティをモニタリングできます。詳細については、 CloudTrail イベントリファレンスドキュメントを参照してください。
協調的脆弱性開示プロセスを通じてこの問題に協力してくださった Rhino Security Labs に感謝いたします。
参考情報:
セキュリティに関する質問や懸念がある場合は、 aws-security@amazon.com までメールでお問い合わせください。