関連するソリューション
マネージドサービス(運用・保守)
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト 松岡 政之 
前回のコラムの冒頭でAMD Ryzen Threadripper 9000シリーズで新しいパソコンを組みたいと書きましたが、8月初旬に無事お迎えすることができました。どの型番を入手したかについては伏せておきますが、さすがの6年分の進化というべきかやはり以前使用していた3000シリーズと比べて、様々な面で性能が向上しており、あらゆる操作が快適になったと感じられます。
一方で、TDPが280Wから350Wになったことで、やはり発熱は大きいようで、より室温が上がりやすくなったように思います。性能は劇的に上がった反面、8月中は35℃を超えるような日が続く中、さらにガンガンにクーラーをかける羽目になってしまいました。
しかし、冷やしさえすれば、この1台で自分のやりたいことはほぼ何でもできるため、個人的には後悔はしていません!
Amazon EMRに発覚した重大な脆弱性
それでは本題です。2025年8月13日 10:00 AM PDTにAmazon EMRの深刻な脆弱性が公開されました。Amazon EMRはビッグデータの処理を目的としたマネージドクラスタープラットフォームですが、今回発表された脆弱性は、Amazon EMRのSecret Agentコンポーネントが、Kerberos認証情報を含むkeytabファイルを/tmp/ディレクトリに保存してしまうため、他のユーザーがアクセス可能な環境では、認証情報の漏洩や権限昇格のリスクがあるというものです。
現状の発表内容から推測される条件としては以下の3点すべてに該当する場合に限り影響を受ける可能性があります。そのため、EMRを使用している場合に必ずしも対策が必要というわけではありませんが、該当する場合はバージョン7.5以降へのアップデートを行うなどの対策が推奨されています。
- EMRバージョン6.10から7.4を使用していること
- Lake Formation、 Apache Ranger、 runtime role、 Identity Centerのいずれかの機能がクラスターで有効になっていること
- クラスターの/tmp/ディレクトリにアクセスできること
本脆弱性については脆弱性の深刻度を表すCVSSスコアは9.0と非常に高く設定されており、上記に該当する環境の場合は速やかに対策を実施すべきです。
脆弱性の詳細については下記のURLをご参照ください。
Kerberos認証とは何か:脆弱性理解の前提知識
では、今回の脆弱性の肝であるkeytabファイルとは何かを少し見ていきたいのですが、そのためにはKerberos認証の理解が必要になります。そのため、軽くKerberos認証について説明したいと思いますので、Kerberos認証についてすでにご存知の方は読み飛ばしてください。Kerberos認証はシングルサインオンの一種であり、暗号化されたチケットを発行し、それを利用することで様々なサーバーやサービスにパスワードの入力なしでログインできるようになる認証方式です。
認証の流れをざっくり説明すると、以下のとおりです。
- ユーザーがログインすると、Kerberos認証サーバーに認証要求を送ります。
- 認証に成功するとTGTと呼ばれるサービス用チケットを取得するための認証チケットが発行されます。
- ユーザーがKerberos認証でログインしたいサービスにアクセスする際、TGTを提示してサービス用のチケットを要求します。
- TGTの正当性が確認されるとサービス用のチケットが返されます。
このようにして、以降はサービス用のチケットを使用することで、パスワード認証なしでサービスにアクセス可能になります。
Amazon EMRではユーザーがEMRクラスターにログインする際や、HiveやSparkなどのアプリケーションを使用する際などに使用します。
Keytabファイルの重要性とその使われ方
続いて、keytabファイルについてです。keytabファイルはKerberosプリンシパル(ユーザーやサービスを一意に識別する名前≒不正確な表現ですが、ADのユーザー名+ドメイン名のようなイメージ)や暗号化された鍵などの認証情報を含んでおり、パスワードの認証を必要とせずにサーバー(サービス)側でその鍵を用いてサービスチケットを復号して検証するために使用されます。これにより、認証情報を一元管理しているKDCと呼ばれるデータベースに問い合わせることなく認証を行うことができます。
Keytab漏洩がもたらすセキュリティリスク
ではkeytabファイルが漏洩するとどうなるのでしょうか?keytabファイルはプリンシパルや秘密鍵の情報を含んでいるため、これを使うことで、正規ユーザーやサービスになりすますことが可能になります。これにより、本来はアクセス権限を持たないデータの読み取りや改ざん・削除などが行えてしまう可能性があります。
また、なりすましを行うことで正規のユーザーやサービスとして振る舞うことができるため、監査ログ上からも検知が困難となる可能性があります。
さらに、Kerberos認証はシングルサインの機構のため、同じ認証方式を利用する他のサービスにも不正アクセスが広がる可能性があります。
まとめ
今回は2025年8月13日に公開されたAmazon EMRのクリティカルな脆弱性についてみていきました。発表された脆弱性については、Kerberos認証で使用するkeytabファイルがユーザーがアクセスできる可能性のある/tmp/ディレクトに保存されるというものでした。このkeytabファイルが漏洩すると、正規のユーザーになりすまして本来アクセスできないデータを窃取されたり、破壊されたりする危険性があります。そのため、本脆弱性の影響を受ける構成で利用している場合については、バージョンアップを行うなどして脆弱性の影響を低減する必要があります。
脆弱性に正しく対応するためには、危険な脆弱性が発表された際に、まず使用している環境がその脆弱性の影響をどの程度受けるのか調査する必要があります。その結果、影響があると分かった場合には、リスク(被害の発生確率×発生時の被害の大きさ)と、対策にかかるコストをきちんと算出し、コストに見合った対策を講じる必要があります。
このようなプロセスを怠ると、予期せぬ被害を受ける可能性があります。そのため、脆弱性情報が発表された際には迅速に対応し、必要な調査と対策を講じることが重要です。また、定期的にシステムのセキュリティ状況を確認し、最新の情報を常に把握するよう心がけましょう。これにより、リスクを最小限に抑え、システムの安全性を確保することができます。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
