2012 年 11 月 2 日
セキュリティ研究者は、一部のソフトウェア開発キット (SDK) の SSL 証明書の検証メカニズムと、AWS とサードパーティが管理するアプリケーションプログラミングインターフェイス (API) ツールに不正な動作があると報告しました。具体的には、研究者は、SSL 証明書の不正な検証を実行する可能性のある Elastic Cloud Compute (EC2) API ツール、Elastic Load Balancing (ELB) API ツール、および Flexible Payments Software (FPS) SDK のバージョンを特定しました。EC2 および ELB API ツールで報告された誤った SSL 証明書の検証により、潜在的に中間者攻撃者は、安全な (HTTPS) EC2 または ELB API エンドポイント向けの署名済み AWS REST/Query リクエストを読み取ることはできるかもしれませんが、変更を完了することはできないでしょう。この問題により、攻撃者がお客様のインスタンスにアクセスしたり、顧客データを操作したりすることはできません。FPS SDK で報告された誤った SSL 証明書の検証により、攻撃者は潜在的に安全な (HTTPS) FPS API エンドポイント向けの署名された AWS REST リクエストを読み取ることができますが、変更を完了することはできないでしょう。また、Amazon Payments Software SDK を使用して、Instant Payment Notification verification に対する FPS の応答を検証するマーチャントアプリケーションにも影響を及ぼす可能性もあります。
これらの問題に対処するために、AWS は、影響を受ける SDK と API ツールの更新バージョンをリリースしました。これらは、こちらから入手できます。
EC2 API ツール
http://aws.amazon.com/developertools/351
ELB API ツール
http://aws.amazon.com/developertools/2536
Amazon Payments Software の更新
米国: https://payments.amazon.com/sdui/sdui/about?nodeId=201033780
英国: https://payments.amazon.co.uk/help?nodeId=201033780
ドイツ: https://payments.amazon.de/help?nodeId=201033780
AWS は他にも、SDK および API ツールの同様の問題に対処しており、更新バージョンをリリースしました。これらは、こちらから入手できます。
Boto
https://github.com/boto/boto
Auto Scaling コマンドラインツール
http://aws.amazon.com/developertools/2535
AWS CloudFormation コマンドラインツール
http://aws.amazon.com/developertools/AWS-CloudFormation/2555753788650372
AWS CloudFormation を使用したアプリケーションのブートストラップ
http://aws.amazon.com/developertools/4026240853893296
Curl 用 Amazon CloudFront 認証ツール
http://aws.amazon.com/developertools/CloudFront/1878
Amazon CloudWatch コマンドラインツール
http://aws.amazon.com/developertools/2534
Linux 用 Amazon CloudWatch モニタリングスクリプト
http://aws.amazon.com/code/8720044071969977
VMware vCenter 用 Amazon EC2 VM Import Connector
http://aws.amazon.com/developertools/2759763385083070
AWS Elastic Beanstalk コマンドラインツール
http://aws.amazon.com/code/AWS-Elastic-Beanstalk/6752709412171743
Amazon ElastiCache コマンドラインツールキット
http://aws.amazon.com/developertools/Amazon-ElastiCache/2310261897259567
Amazon Mechanical Turk コマンドラインツール
http://aws.amazon.com/developertools/694
.NET 用 Amazon Mechanical Turk SDK
http://aws.amazon.com/code/SDKs/923
Perl 用 Amazon Mechanical Turk SDK
http://aws.amazon.com/code/SDKs/922
Curl 用 Amazon Route 53 認証ツール
http://aws.amazon.com/code/9706686376855511
アマゾン ウェブ サービス用の Ruby ライブラリ
http://aws.amazon.com/code/SDKs/793
Amazon Simple Notification Service コマンドラインインターフェイスツール
http://aws.amazon.com/developertools/3688
Curl 用 Amazon S3 認証ツール
http://aws.amazon.com/developertools/Amazon-S3/128
お客様は、最新の AWS SDK と API ツールを使用することに加えて、基礎となるソフトウェアの依存関係を更新することをお勧めします。基礎となるソフトウェアの依存関係の推奨バージョンは、SDK または CLI ツールパッケージの README ファイルに記載されています。
AWS は、セキュリティ強化のため、および AWS リクエストまたはその応答を転送中に表示されないように保護するために、SSL の使用を引き続き推奨します。HTTP または HTTPS を介した署名付き AWS REST/Query リクエストは、サードパーティの変更から保護されます。また AWS Multi-Factor Authentication (MFA) を使用した MFA で保護された API アクセスにより、Amazon EC2 インスタンスの終了や Amazon S3 に保存されている機密データの読み取りなど、強力な操作のセキュリティを向上させています。
AWS REST/Query リクエストへの署名の詳細については、以下を参照してください。
http://docs.amazonwebservices.com/general/latest/gr/signing_aws_api_requests.html
MFA で保護された API アクセスの詳細については、以下を参照してください。
http://docs.amazonwebservices.com/IAM/latest/UserGuide/MFAProtectedAPI.html
AWS は、これらの問題を報告し、当社のセキュリティへの情熱を共有してくれた以下の個人に感謝申し上げます。
テキサス大学オースティン校の Martin Georgiev、Suman Jana、Vitaly Shmatikov
スタンフォード大学の Subodh Iyengar、Rishita Anubhai、Dan Boneh
セキュリティは AWS の最優先事項です。安全な AWS インフラストラクチャを実現するために、お客様に機能、メカニズム、および支援を引き続き提供して参ります。AWS セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までご連絡ください。