Amazon Q Developer の脆弱性 CVE-2026-12957/12958 が FIX:任意のコード実行と AWS 認証情報窃取の恐れ

Amazon Q Developer Vulnerability Allows Code Execution via Malicious Repositories

2026/06/27 gbhackers — Visual Studio Code (VS Code) 向けの Amazon Q Developer Extension で発見された 2 件の深刻な脆弱性 CVE-2026-12957CVE-2026-12958 により、任意のコード実行やクラウド認証情報の窃取の危険に、開発者たちがさらされている。それが浮き彫りにするのは、AI コーディング・アシスタントにおける信頼境界の管理方法の問題である。

この脆弱性の根本的な原因は、Amazon Q が Model Context Protocol (MCP) サーバのコンフィグを処理する方法にある。MCP サーバとは、ローカル・プロセスとして動作し、AI アシスタントに API/データベース/ローカル・リソースと対話する機能を提供するものである。

Amazon Q Developer の脆弱性の詳細

Amazon Q は、ユーザーの同意を求めることも、ワークスペースの信頼性を検証することもなく、ワークスペース・ディレクトリ内の隠しファイル “.amazonq/mcp.json” からコンフィグを自動的に読み込んでいた。

その結果として、起動されたプロセスは、被害者の環境全体を自動的に継承してしまう。それにより、アクセス・キー ID/シークレット・アクセスキー/セッション・トークン/API キー/SSH エージェント・ソケットなどの、AWS 認証情報を含む機密データへ即座にアクセスできる状態となる。

Wiz のセキュリティ研究者による PoC が実証するのは、悪意のコンフィグ内に含まれる単一の Bash コマンドが、AWS の認証情報を確認するコマンドを実行する状況である。それにより、取得された AWS セッションが、攻撃者が制御するサーバへと流出する。

この脆弱性の悪用に必要なユーザー操作は、最小限である。攻撃者は悪意のコンフィグ・ファイルをリポジトリ内に配置し、開発者によるリポジトリのクローンと、 Amazon Q による有効な IDE でのフォルダのオープンを待つだけでよい。その後に、このエクステンションは、警告を一切表示することなく埋め込まれたコンフィグを実行する。

また、脅威アクターは、複数の配布経路を悪用して、これらの改竄されたリポジトリを配布できる。一般的な手法として挙げられるのは、タイポスクワッティングされたパッケージ/人気のオープンソース・プロジェクトへの悪意のあるプル・リクエスト/侵害された依存関係などである。

北朝鮮 (DPRK) と関連する脅威グループは、偽の採用面接用コーディング・テストを配布手段として頻繁に利用しているため、これらの攻撃シナリオは極めて現実的である。攻撃に成功した攻撃者は、IAM ユーザーに対するバックドアを設置し、クラウド環境内で永続性を確立するとともに、継承した VPN コンテキストを悪用して内部の本番システムへ向けて侵入を拡大 (ピボット) できる。

Wiz の研究者 Maor Dokhanian が、 2026年4月17日に 2件の脆弱性を発見し、4月20日に Amazon Security へ報告した。その後の 5月12日に、Amazon は言語サーバの初回アップデートを展開し、2026年6月26日に情報を公表した。なお、脆弱性 CVE-2026-12957 は不適切な信頼境界の適用に起因し、CVE-2026-12958 はシンボリック・リンクの検証不足に起因する。

開発者にとって必要なことは、以下の脆弱なプラグイン・バージョンが、新しいバージョンへ更新されていることの確認である。

ProductVulnerable Version
Language Servers for AWS< 1.69.0
Amazon Q Developer for VS Code< 2.20
Amazon Q Developer for JetBrains< 4.3
Amazon Q Developer for Eclipse< 2.7.4
AWS Toolkit with Amazon Q for Visual Studio< 1.94.0.0

AWS の言語サーバは大半のコンフィグで自動更新されるため、IDE を再読み込みするだけでパッチが適用される。開発者にとって必要なことは、ワークスペース・ディレクトリ内に予期しない “.amazonq/” フォルダが存在しないことを定期的に監査し、見慣れないリポジトリは極めて信頼できないものとして扱うことである。

このインシデントが示すのは、AI 開発エコシステムに影響を及ぼす MCP の自動実行に関する脆弱性が継続的に発生している状況である。

最近の傾向として、同様の脆弱性である Claude Code の CVE-2025-59536/CVE-2026-21852 や、Cursor の CVE-2025-54136、Windsurf の CVE-2026-30615 などが公表されている。すべてのワークスペース・コンフィグの信頼性を、AI 支援開発ツールの基本要件として標準化する必要性が、サイバーセキュリティ業界において高まっている。