Last Updated on 2025-07-16 15:55 by 荒木 啓介
AWSのManaged Workflows for Apache Airflow(MWAA)における1クリック脆弱性が発見された。この脆弱性を悪用すると、ハッカーがセッションを乗っ取り、リモートコード実行(RCE)、企業のクラウド環境内での横移動などが可能になる。しかし、この問題はAWSだけでなく、Microsoft AzureやGoogle Cloudを含む主要なクラウドサービス全体に共通するより深い設定ミスの表れである。
Apache Airflowは2014年にAirbnbで開発されたオープンソースのワークフロー管理プラットフォームで、月間約1200万回のダウンロードがある。Airflowのユーザーの半数以上がデータエンジニアであり、残りはアーキテクト、開発者、DevOpsスペシャリスト、データエンジニアなどで、三分の二が少なくとも200人の従業員を持つ企業で働いている。
MWAAの問題は、シングルサインオン(SSO)機能が認証後にセッションクッキーを更新しないため、攻撃者が認証せずにセッションを傍受できるというものだった。主要なクラウドプロバイダーが提供する異なるサービスはしばしば同じドメインを共有しており、これによりクライアント側のコード実行が可能になる場合がある。
この問題は「クッキー投げ」と呼ばれ、攻撃者が被害者のAirflow Webパネルを乗っ取り、基盤となるインスタンス上でコードを実行する可能性がある。Apache Airflowは、顧客情報、財務データ、独自のビジネスデータなど、機密性の高い企業データを処理するデータパイプラインをオーケストレーションするためによく使用されるため、特に懸念される。
Amazonはこの脆弱性に対処し、Microsoftと共に根本的な共有ドメイン問題に対する構造的な修正を実施した。しかし、Googleはまだ対応していない。クラウドサービスプロバイダーは、ドメインアーキテクチャの再構築またはPublic Suffix List(PSL)にクラウドサービスのドメインを追加することで、この問題を解決できる。AWSとAzureは最近、この対策を実施したが、Google Cloudはまだである。
【ニュース解説】
AWSのManaged Workflows for Apache Airflow(MWAA)における1クリック脆弱性が発見されました。この脆弱性を悪用すると、攻撃者はユーザーのセッションを乗っ取り、リモートコード実行(RCE)、企業のクラウド環境内での横移動などを行うことが可能になります。しかし、この問題はAWSだけに留まらず、Microsoft AzureやGoogle Cloudを含む主要なクラウドサービス全体に共通するより深い設定ミスの表れであることが明らかになりました。
Apache Airflowは、データパイプラインのオーケストレーションに広く使用されるオープンソースのワークフロー管理プラットフォームです。このプラットフォームは、顧客情報や財務データなどの機密性の高い企業データを処理するため、セキュリティ上の脆弱性が特に懸念されます。
問題の核心は、「クッキー投げ」と呼ばれる攻撃手法にあります。これは、攻撃者が被害者のセッションクッキーを乗っ取り、Webパネルや基盤となるインスタンス上でコードを実行する可能性があるというものです。この脆弱性は、シングルサインオン(SSO)機能が認証後にセッションクッキーを更新しないことに起因しています。
Amazon、Microsoft、Googleなどのクラウドサービスプロバイダーは、異なるサービスが同じドメインを共有することがあり、この構造がクッキー投げのリスクを高めています。AmazonとMicrosoftはこの問題に対処し、構造的な修正を実施しましたが、Googleはまだ対応していません。
この問題の解決策として、ドメインアーキテクチャの再構築やPublic Suffix List(PSL)へのドメイン追加が挙げられます。PSLは、ブラウザが公共のサフィックスとして認識し、クッキー投げを防ぐためのルールのリストです。AWSとAzureはこの対策を実施しましたが、Google Cloudはまだこの問題を「十分に重大でない」として対応していないと報告されています。
この発見は、クラウドサービスのセキュリティにおける新たな課題を浮き彫りにしました。クラウド顧客は、自身のWebアプリケーションをクラウドで安全に保つ責任があり、サービスプロバイダーが提供するセキュリティ対策に依存するだけでなく、自らもリスクを最小限に抑えるための対策を講じる必要があります。この問題は、クラウドサービスのセキュリティ設計における根本的な見直しを促すものであり、今後のクラウドセキュリティの方向性に影響を与える可能性があります。
from 1-Click Takeover Bug in AWS Apache Airflow Reveals Larger Risk.
“AWS脆弱性発覚:クラウド全体のセキュリティ問題を露呈” への1件のコメント
このニュースは本当に気になるね。最近のクラウドサービスは本当に便利で、私たちの生活や仕事に深く組み込まれているけど、その裏でこういったセキュリティのリスクがあるとはちょっと怖いよね。Apache Airflowのように、多くの企業が重要なデータを扱うサービスが脆弱性を抱えていると、その影響は計り知れない。
特に、「クッキー投げ」という攻撃手法があるというのが心配。シングルサインオン(SSO)機能って、一度のログインで複数のサービスを利用できるから便利だけど、そのセッションクッキーを乗っ取られると、個人情報や企業の機密データが危険にさらされるんだよね。
AmazonやMicrosoftがこの問題に対処しているのは良いニュースだけど、Googleがまだ対応していないというのは心配。クラウドサービスを利用する私たちも、自分たちのデータを守るために、プロバイダーが提供するセキュリティ対策に加えて、自らもしっかりと対応する必要があるんだと思う。
例えば、定期的なパスワードの変更や二段階認証の利用、セキュリティ対策がしっかりしているサービスの選択など、基本的だけど重要なことをきちんと行うべきだと思う。そして、こ