AWS CodeBuildの脆弱性「CodeBreach」が2025年にGitHubリポジトリ乗っ取りリスクを引き起こす

AWS CodeBuildの設定ミスがGitHubリポジトリをサプライチェーン攻撃のリスクに晒す

クラウドセキュリティ企業Wizの調査により、2025年9月にAmazon Web Services (AWS) CodeBuildの重大なセキュリティ設定ミスが修正された。この脆弱性はCodeBreachと名付けられ、攻撃者がAWS自身のGitHubリポジトリ（AWS JavaScript SDKを含む）を侵害し、AWS環境全体に広がるサプライチェーン攻撃を引き起こす可能性があった。

CodeBreachの技術的詳細

この脆弱性は、AWS CodeBuildとGitHubリポジトリの統合における設定ミスに起因していた。Wizの研究者によると、過度に許可されたOAuthトークンスコープとビルドプロジェクト設定を悪用することで、AWSの内部GitHubリポジトリへの不正アクセスが可能であったという。具体的な技術的メカニズムは公開されていないが、この設定ミスにより攻撃者は以下の権限を取得できた可能性がある：

• リポジトリへのフルアクセス（読み取り/書き込み権限を含む）
• 悪意のあるコードの注入：AWS SDKやその他の重要なリポジトリへの改ざん
• サプライチェーンの侵害：改ざんされた依存関係がAWSサービス全体に拡散するリスク

Wizは、この脆弱性がAWSアカウントへの事前アクセスを必要としない点を強調しており、AWSのマネージドビルドサービスに依存する組織にとって特に深刻な問題であった。

影響分析

この脆弱性が悪用された場合、その影響は壊滅的なものになり得た：

• サプライチェーン攻撃：攻撃者がAWS SDKやその他の依存関係を改ざんし、AWS顧客向けのバックドア付きソフトウェアが配布される可能性。
• データ流出：AWSの独自コードを含む機密リポジトリデータが漏洩するリスク。
• 信頼性の低下：AWS自身のリポジトリへの攻撃が成功した場合、プラットフォームのセキュリティに対する信頼が損なわれる。

Wizは、この脆弱性がパッチ適用前に悪用されたかどうかを公表していない。AWSも悪用の証拠は報告していない。

セキュリティチーム向けの推奨事項

AWSは既にこの問題を修正しているが、セキュリティ担当者は以下の対策を講じるべきである：

1. CodeBuildの設定を監査：GitHubリポジトリとの統合における過度に許可されたOAuthトークンやビルドプロジェクト設定を確認。
2. サプライチェーンリスクの監視：AWS SDKやその他のサードパーティライブラリに対する依存関係スキャンと整合性チェックを実施。
3. 最小権限の原則を徹底：リポジトリへのアクセス権限を必要最小限のロールとサービスに制限。
4. クラウドセキュリティアドバイザリの最新情報を確認：AWSのセキュリティブリテンを購読し、新たな脅威に備える。

AWSはこの脆弱性にCVE IDを割り当てていないが、組織はCodeBuildのデプロイメントがAWSの最新セキュリティベストプラクティスに準拠しているかを確認することが推奨される。

原文レポート：The Hacker News