はじめに
目的
本ドキュメントは、AWSに関連する最近の脆弱性に関する調査結果をわかりやすくまとめたものです。主にAmazonが発見したCiscoおよびCitrixのゼロデイ脆弱性、AWS Client VPNのWindows/macOSクライアントの脆弱性、そしてCisco ISEクラウド版の重大な欠陥について扱います。各脆弱性の概要、想定される影響範囲、実務で取るべき対策を提示します。
対象読者
- IT管理者、セキュリティ担当者、運用チーム
- クラウドやネットワーク機器を運用する技術者
- セキュリティ情報を分かりやすく知りたい関係者
専門知識がなくても理解できるよう、専門用語は最小限にし、具体例で補足します。
本ドキュメントの使い方
各章ごとに脆弱性の概要、影響範囲、優先度の高い対策を示します。まず自組織で影響を受ける範囲を確認し、優先的にパッチ適用や設定変更を検討してください。ゼロデイ脆弱性はベンダーがまだ修正を出していない場合がありますが、適切な回避策や検出ルールで被害を抑えられます。したがって、迅速な対応が重要です。
注意事項
具体的な操作手順やパッチの適用は、必ず社内の運用フローに従って実施してください。影響範囲の確認やテストはステージング環境で行い、運用中のサービスに影響を与えないよう注意してください。
Amazonが発見したCiscoとCitrixのゼロデイ脆弱性
発見の概要
Amazonの脅威インテリジェンスチームは、Cisco Identity Services Engine(ISE)とCitrixの複数箇所に対する未公開のゼロデイ脆弱性を悪用する活動を確認しました。特にCisco ISEの脆弱性(CVE-2025-20337)は認証なしでリモートコード実行が可能で、実運用環境で深刻な被害を招いています。
脆弱性の特徴
- CVE-2025-20337は、ISEのWeb層やJava/Tomcat実装の不備を突くものです。リクエストを細工することで任意のコードを実行できます。
- 攻撃者はカスタムWebシェルを設置し、永続化や横展開に利用しています。これにより内部ネットワーク内での活動が容易になります。
攻撃の手口(具体例)
攻撃者は脆弱なエンドポイントへ特殊なHTTPリクエストを送り、アプリケーションサーバ上でコマンドを実行させます。Tomcatのセッションや管理APIの知識を組み合わせ、管理者権限に近い操作を行うケースが報告されています。
影響範囲
対象はエンタープライズ向けのISEやCitrix環境で、特にインターネットに公開された管理インターフェースを持つシステムが危険です。認証不要であるため、検知されにくく侵入後の被害が大きくなります。
優先すべき対策
- 該当製品の公開情報とパッチを直ちに確認し、適用する。2. 管理インターフェースをネットワーク的に隔離し、アクセス制御を強化する。3. サーバログやネットワークトラフィックを監視し、Webシェルや不審なリクエストの兆候を探す。4. 必要ならば資格情報のローテーションと侵害対応を実施する。
これらの脆弱性は高度な攻撃者によるものです。早めの確認と対応をおすすめします。
AWS Client VPN Windowsクライアントの脆弱性(CVE-2025-8069)
概要
AWSは2025年7月23日、Windows版AWS Client VPNクライアントに関する脆弱性(CVE-2025-8069)を公表しました。影響を受けるのはバージョン5.2.2以前のWindows環境です。現時点で回避策は提供されておらず、アップグレードが唯一の保護手段とされています。
影響内容(利用者向けの説明)
この脆弱性が存在すると、VPN接続の安全性が損なわれる可能性があります。たとえば、社内ネットワークに接続する社員の端末が安全に通信できなくなるリスクや、機密情報のやり取りが危険にさらされる恐れがあります。専門用語を避けると、接続の“安全性”が低下するとお考えください。
推奨対応(実務的な手順)
- 影響範囲の把握:社内で使用しているAWS Client VPNのバージョンを確認してください。Windowsクライアントの設定画面やアプリ情報で確認できます。
- 優先的なアップデート:該当バージョンが見つかったら、直ちに最新バージョンへアップグレードしてください。AWS公式サイトまたは管理コンソールから入手できます。
- 展開計画:エンタープライズ環境では、テスト→段階的展開の順で行い、業務影響を最小化してください。
- 利用者への周知:アップデート手順と影響を分かりやすく案内し、対応完了を確認してください。
運用上の注意点
- 現時点で有効な回避策はありません。アップデートを速やかに行うことが最も確実な防御です。
- アップデート前は、必要性を見直してVPN接続の利用を控える検討もしてください。
以上が本脆弱性に対する現時点での対応方針です。
Cisco ISEクラウド版の深刻な脆弱性(CVE-2025-20286)
概要
AWS、Microsoft Azure、Oracle Cloud Infrastructure上で動作するCisco ISEクラウド版に、共通の認証情報が生成される脆弱性(CVE-2025-20286)が見つかりました。CVSSは9.9/10で、認証されていないリモート攻撃者が機密データにアクセスしたり、設定を変更したりできる深刻な問題です。PoCは存在しますが、現時点で悪用の報告はありません。
なぜ危険か(影響のイメージ)
複数の環境で同じ鍵やパスワードが使われるイメージです。攻撃者が一つの値を手に入れれば、同じ認証情報を持つ他のシステムにもアクセスできます。管理者の秘密情報や接続情報が漏れると、社内ネットワーク全体に波及する恐れがあります。
技術的な原因(簡単に)
クラウド向けイメージの生成過程で、個別の一意な資格情報を作らずに固定値や再利用可能なトークンを配布してしまったことが主因です。仕組みとしては、テンプレートあるいは初期化スクリプトのミスに起因します。
攻撃手法と現状
公開されたPoCはリモートから認証を回避して機密情報を取得する手順を示します。攻撃はネットワーク経由で行われ、特別な権限を必要としません。悪用の兆候はまだ報告されていませんが、実行可能性は高いです。
対策と推奨手順
1) ベンダーが提供するセキュリティパッチを最優先で適用してください。 2) 既存の認証情報を直ちにローテーションし、漏えいした可能性のあるトークンは無効化してください。 3) 管理用エンドポイントをネットワーク的に制限し、VPNやIP制限を適用してください。 4) 二要素認証を有効にし、監査ログを詳細化して不審な操作を検出できるようにしてください。
検出方法
監査ログで管理APIへの異常なアクセス、短時間での多数の認証試行、または同一認証情報による複数インスタンスへのアクセスを探してください。認証トークンや証明書のフィンガープリント比較で共通値の有無を確認することも有効です。
早めの対処が重要です。ベンダーの通知とパッチ情報を常に確認してください。
AWS Client VPN for macOSの権限昇格脆弱性(CVE-2025-11462)
概要
AWS Client VPN for macOSに権限昇格の脆弱性(CVE-2025-11462)が見つかりました。権限のないユーザーがクライアントのログファイルからシンボリックリンクを作成し、システムの重要なファイルにアクセスできる恐れがあります。
影響範囲
ローカルに複数ユーザーが存在するmacOS環境や、パスワードを共有している端末で特に問題となります。攻撃者は例えばcrontabなどの機密ファイルを書き換え、任意のコマンドを定期実行させることが可能です。
悪用のイメージ(簡単に)
攻撃者はログファイル名を監視し、そこに向けてシンボリックリンクを作ります。クライアントがログを書き込む際に、リンク先の重要ファイルに対して意図せず書き込みが行われることで権限を持たない操作が実行されます。
対策
- まず公式のセキュリティアップデートを適用してください。最新版に更新することが最も確実です。
- ローカルのユーザ権限を見直し、不要なアカウントや共有ログインを避けてください。
- /etc/crontabなど重要ファイルの改ざんがないか監査し、不審なエントリがあれば直ちに対処してください。
運用上の注意
ログファイルや一時ファイルの権限を適切に設定し、不要な書き込み権限を与えないでください。疑わしい活動を見つけたら証跡を保存してから調査してください。
