AWS-LC Flaw Exposes Amazon Users to Attacks by Bypassing Certificate Chain Validation
2026/03/06 gbhackers — Amazon が公表した重大なセキュリティ速報 (2026-005-AWS) は、同社のオープンソース暗号ライブラリ AWS-LC に存在する、きわめて深刻な 3 件の脆弱性を詳述するものだ。AISLE Research Team との協調開示プロセスを通じて発見された、これらの脆弱性はクラウド・インフラに対して深刻なリスクをもたらすものだ。AWS-LC は、デジタル通信の保護における汎用暗号ライブラリとして、数多くの開発者に利用されている。
この広範な利用状況から懸念されるのは、発見された一連の脆弱性が未認証の攻撃者に悪用され、証明書検証の回避やタイミング差異の悪用が生じ、安全だとされるデータの侵害が引き起こされる事態である。
3 つの脆弱性の詳細
研究者たちが特定した、AWS-LC の暗号処理実装に関する 3 つの脆弱性は、以下のとおりである。
最も深刻な問題は、デジタル証明書および署名の検証を担う PKCS7_verify() 関数に存在する。
CVE-2026-3336:証明書チェーン検証バイパスの脆弱性であり、複数の署名者がいる PKCS7 オブジェクトの処理時に発生する。この不適切な検証処理を悪用する未認証ユーザーは、すべての署名者 (最後の署名者を除く) に対するチェーン検証を回避できる。
CVE-2026-3337:AES-CCM の復号処理中において、観測可能なタイミング・サイドチャネルを生じさせる脆弱性である。処理時間の微小な差異を分析する未認証の攻撃者が、認証タグの正当性を推測し、暗号の完全性が損なわれる可能性が生じる。
CVE-2026-3338:PKCS7_verify() 関数内の、不適切な署名検証に起因する脆弱性である。この脆弱性を悪用する未認証ユーザーは、Authenticated Attributes を含む PKCS7 オブジェクトを処理する際に、署名検証を完全に回避できる。
影響を受けるバージョンと修復
すべての顧客に対して Amazon が強く推奨するのは、最新のメジャー・バージョンへの速やかなアップグレードである。
この脆弱性が影響を及ぼす範囲は、複数の AWS-LC バージョンおよび関連システム・パッケージである。
PKCS7 関連の脆弱性は、AWS-LC v1.41.0〜v1.69.0 未満/aws-lc-sys v0.24.0〜v0.38.0 未満に影響を及ぼす。すでに Amazon は、AWS-LC v1.69.0 と aws-lc-sys v0.38.0 をリリースし、 PKCS7 バイパスの脆弱性に対処している。
タイミング・サイドチャネルの脆弱性は、より広範に影響を及ぼすものであり、AWS-LC v1.21.0 以降/AWS-LC-FIPS 3.0.0〜3.2.0 が対象となる。すでに Amazon は、AWS-LC v1.69.0/AWS-LC-FIPS-3.2.0/aws-lc-sys v0.38.0/aws-lc-sys-fips v0.13.12 をリリースし、この問題に対処している。
証明書および署名検証バイパスに対する、既知の回避策は存在しないため、迅速なパッチ適用だけが唯一の対策となる。ただし、タイミング・サイドチャネルの脆弱性については、暫定的な緩和策が存在する。
AES-CCM を特定パラメータ (M=4,L=2)/(M=8,L=2)/(M=16,L=2) を用いている場合には、EVP AEAD API 経由で暗号処理を実行できる。EVP_aead_aes_128_ccm_bluetooth や EVP_aead_aes_128_ccm_matter などのコンフィグを実装することで、正式パッチ適用までの間、リスクを軽減できる。
Amazonのオープンソース暗号ライブラリ AWS-LC において、デジタル署名の検証手順と、復号処理における時間の管理に不備が生じています。AWS-LC は、数多くのクラウド通信やアプリで使われている ため、その影響が懸念されています。今回、新たに発見された脆弱性は、署名が本物であることを確認するプロセス (PKCS7_verify 関数) のショートカットを許してしまうものや、暗号の正誤を判定する際の時間の差から正解の推測を許してしまうものです。これらの欠陥を突く攻撃者は、偽の証明書を用いることで、通信内容の解析などを引き起こす可能性があります。ご利用のチームは、ご注意ください。よろしければ、AWS での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.