AWSのSageMakerやGlue、EMRなどで自動作成される「デフォルトロール(Shadow Role)」には、S3バケットへのフルアクセス権やログ削除権限など、過剰な権限が初期状態で与えられているケースがあります。
これらのロールの認証情報が攻撃者に窃取されると、全データの削除・改ざん・バックアップ破壊といった深刻な被害が生じる恐れがあります。
そこで本記事では、AWSデフォルトロールに潜む危険性と、構造的な権限設計ミスによって発生する横断的なリスクについて詳しく解説します。
目次
AWSデフォルトロールとは
デフォルトロールとは、AWSの各サービスを有効化する際に自動で作成されるIAMロールのことです。たとえばSageMakerやGlueでは、以下のような強い権限を持ったロールが自動的に作成され、実行ロール(Execution Role)として割り当てられます。
AmazonS3FullAccess(全S3バケットへの読み書き削除)logs:*(CloudWatchログの読み書き削除)cloudwatch:*(監視設定の変更)
近年、セキュリティベンダー各社の調査や報告により、SageMaker、Glue、EMR、LightsailなどのAWSサービスや、Rayといったオープンソースフレームワークにおいても、同様に過剰な権限が付与されたロール(例:ray-autoscaler-v1)が確認されています。
一部のサービスでは、デフォルトロールにAmazonS3FullAccessが割り当てられており、攻撃者がこのロールの認証情報を入手した場合、S3バケットへのフルアクセスだけでなく、他サービス(CloudFormationやEMR、Glue等)への横断的な攻撃が可能になります。
なぜ攻撃されやすい?過去から続くAWSの設計リスク
AWSのロール認証情報が盗まれるリスクは、今に始まった話ではありません。とくに「IMDS(インスタンスメタデータサービス)」を使った情報窃取は、2016年頃から指摘されていた設計リスクです。
IMDSは、EC2 や SageMaker などのAWSサービス内部から、割り当てられたIAMロールの一時的な認証情報を取得するための仕組みです。問題は、初期バージョン(IMDSv1)ではトークンなどの認証なしに、URLへアクセスすれば簡単に情報が取得できてしまうという点でした。
出典:AWS公式サイト
これにより、たとえば SSRF(サーバーサイドリクエストフォージェリ)などの脆弱性を利用して、攻撃者がIMDSのURLに間接的にアクセスするだけで、ロールの認証情報が窃取されてしまう可能性があったのです。
現在はIMDSv2という強化版が登場し、リクエスト時にトークンの発行が必須となっています。しかし、依然としてIMDSv1が有効なままの環境も多く、設定の見直しがされていないケースが多く見られます。
対策として、EC2 / SageMaker / Glue などでは IMDSv2 のみを許可し、IMDSv1を無効化することが極めて重要です。
AWSデフォルトロールが招く被害の典型例
特権昇格の起点となるロールを奪われると、意図しない横断的なアクセスが可能になります。ここでは、その影響範囲と構造的な問題を解説します。
全S3バケットへの読み書き・削除
AmazonS3FullAccessが付与されていると、アカウント内のすべてのS3バケットに対する完全な操作が可能です。攻撃者はCloudFormationやSageMakerに関連付けられたバケットを検索し、機密データを盗んだり削除することで、ランサム攻撃のような状況を作り出すことができます。
CloudWatchログの消去による痕跡隠蔽
ロールがlogs:*やcloudtrail:DeleteTrailなどの権限を持っている場合、ログの削除や記録の停止が可能になります。CloudTrailやCloudWatch上では「正規の操作」と見えるため、攻撃の痕跡を残さずに消去される恐れがあります。
Organizations を利用している場合は、SCP(Service Control Policy)を使ってログ削除操作を禁止し、痕跡消去を構造的にブロックすることが可能です。
サービスを跨いだ権限の横展開
攻撃者が1つのサービス(例:SageMaker)のロールを奪取した場合、そのロールの中に含まれるポリシーで他サービス(Glue、EMR、CloudFormation)へのAPI呼び出しが許可されていると、連鎖的にサービス全体を操作できるようになります。
これにより、1サービスの侵害がAWSアカウント全体の支配へとつながる危険性があります。
CloudFormation経由での権限拡張
CloudFormationテンプレートを操作できる場合、攻撃者は新たな管理者ロールの作成、バックドアの設置、既存リソースのすり替えなどを自動化できます。これにより権限のさらなる昇格と、持続的な侵害が可能になります。
企業に与える実害:業務停止・情報消失・高額請求
権限侵入が発生した場合、多くの人が「ウイルス感染」や「システム改ざん」を想像しますが、実際の被害はそれだけにとどまりません。
クラウド上に保存されている重要データそのものが直接影響を受けるため、被害は技術的問題から経営問題へと一気に発展します。
- 業務停止:システム停止やデータ削除により、業務継続が困難になる
- 情報漏えい:顧客情報・社内情報が外部に持ち出される
- データ消失:バックアップや重要データが削除・破壊される
- 不正利用:攻撃者が計算資源を使って暗号通貨マイニング等を実行
特に注意すべきなのは、AWSが「利用量課金モデル」である点です。
攻撃者により大量のインスタンス起動やマイニング処理が行われた場合、短期間で数千万円規模の請求が発生した実例も報告されています。
このように、AWSの権限侵害は単なるセキュリティ事故ではなく、事業停止・信用失墜・直接的な金銭損失を同時に引き起こす重大インシデントとなります。
攻撃が検知されにくい構造的問題
この攻撃の最も危険な点は、「すべて正規のAWSサービスを通じた操作に見える」という点です。CloudTrail上でも、「SageMakerがS3にアクセスした」としか記録されません。
つまり、正規のロール、正規の認証情報、正規のAPIを使って進行するため、攻撃が通常の業務オペレーションに見えるという構造的な盲点があるのです。
Aqua Security の報告では、こうした脆弱性により、攻撃者がHugging Face経由で悪意あるモデルを読み込ませ、SageMakerを踏み台にGlueのIAM資格情報を盗むような高度な攻撃パスも想定されています。
一部の問題にはAWS側でのポリシー修正などの対応が取られていますが、既存のロールは自動で修正されないため、過去に作成されたロールは利用していなくても危険な権限を持ったまま放置されている可能性があります。
さらに CloudTrailのLog File Validation を有効化することで、ログの改ざんが行われていないかを検証でき、フォレンジック調査の信頼性向上につながります。
詳しく調べる際はフォレンジック調査会社に相談
パソコンやスマホの挙動に異変を感じたとき、「気のせい」で済ませるのは危険です。サイバー攻撃は、気づかないうちに情報を盗み取ったり、別の攻撃に悪用されてしまうこともあります。
多くの人が「セキュリティソフトを入れているから大丈夫」と考えがちですが、最近のウイルスやランサムウェアはその一歩先を狙ってきます。本当に必要なのは、「起きてしまったあと」にどう対応するかを考えておくことです。そのために重要なのが「フォレンジック調査」です。
フォレンジック調査では、第三者しか行えない客観的な解析で、端末やログに残った痕跡から被害の有無や範囲を正確に特定します。この結果は、警察や弁護士に相談する際の証拠にもなり、安心して次の対応につなげられます。
デジタルデータフォレンジックでは、インシデント対応の専門家が初動対応から徹底サポートします。専用の解析設備を使い、ネットワークや端末を詳細に調査・解析し、調査報告書の提出や報告会までワンストップで対応します。
官公庁・上場企業・捜査機関など幅広い組織への対応実績があり、専門の担当者とエンジニアが迅速かつ正確に調査を実施します。
ご相談・初期診断・お見積りはすべて無料です。お電話またはメールでお気軽にお問い合わせください。法人様の場合、ご相談から最短30分でWeb打合せも開催しておりますので、状況をヒアリングし、最適な対応方法をご案内いたします。
AWSデフォルトロールを安全に運用するための対策
IAMの構成ミスやデフォルトロールの放置は、構造的にリスクを抱えたまま運用される原因となります。ここでは、攻撃を未然に防ぐための具体的な対策と、AWS環境で今すぐ確認すべき点を整理します。
ポリシーの最小化:ワイルドカード権限を排除
AmazonS3FullAccess や logs:* のようなワイルドカードポリシーは、不要なアクセス許可を広範囲に与えてしまいます。各ロールに割り当てられたポリシーを点検し、実際の業務に必要な操作のみに権限を限定しましょう。
- IAMロール一覧から
AmazonS3FullAccessや*:*を含むポリシーを抽出 - CloudTrail や Access Advisor で実際に使われているアクションを確認
- 必要なアクションと対象リソースだけを許可するカスタムポリシーに置換
信頼ポリシーの棚卸し:AssumeRole対象の制限
IAMロールには「誰がそのロールを引き受けられるか」を決める「信頼ポリシー」が存在します。ここに不要なロール・ユーザー・サービスが含まれていないか、定期的に見直すことが重要です。
- AWS CLIまたはマネジメントコンソールで信頼ポリシーのJSONを確認
- 外部アカウントや社内不要ロールが含まれていないかチェック
- AssumeRole対象は限定的なアカウントやサービスに制限
IAM Access Analyzer による過剰権限の可視化
AWS公式のIAM Access Analyzerは、不要な外部アクセス、共有、過剰ポリシーを自動検出します。特に旧バージョンのSageMakerやGlueで作成されたロールが放置されている環境では、早期発見に有効です。
- IAM画面の「Access Analyzer」からアナライザーを作成
- 対象リソース(ロール/S3/KMSなど)をスキャン
- 検出された「共有されているリソース」や「過剰アクセス」をレビュー・修正
特権昇格の運用は「一時的」に限定
「常時管理者ロール」ではなく、「必要なときに昇格 → 自動失効」の運用に切り替えることで、ミスや不正操作のリスクを大幅に下げられます。MFA付きのスイッチロールを活用した一時的権限の設計が推奨されます。
- 読み取り専用ロールと管理者ロールを明確に分離
- 昇格ロールにはMFAとセッション制限を付与
- CloudTrailログによる自動監査や承認フローを組み合わせる
現実的運用課題と解決策
IAMの棚卸しやロールの見直しが重要だと理解していても、現実には人手不足・クラウド人材の不足という課題があり、すべてを自社で管理し続けるのは難しいという声が多くあります。
AWS環境では、サービスロールやIAM設定が数十〜数百件に及ぶケースもあり、それらを定期的に見直すには高い技術力と時間が求められます。セキュリティ担当が他の業務と兼務している中で、これをすべて手作業で対応するのは現実的ではありません。
このような場合は、第三者による設定診断や脆弱性チェックを活用することが有効です。外部の専門業者がクラウド環境に対する構成診断・脆弱性診断を実施し、その結果に基づいてセキュリティレベル向上のための施策提案を行う事例も増えています。
攻撃を受ける前にリスクを洗い出すことが、最小コストでセキュリティを高める現実的な方法です。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
