この日はAWSからインスタンスメタデータサービス(IMDS)のなりすましに関するセキュリティ速報(AWS-2025-021)が1件公開された。EC2インスタンス上でIMDSはループバックインターフェース上で動作し、ネットワーク呼び出しがインスタンス外に出ないためAWSのデータ境界内で信頼できる。しかし、非EC2の計算ノードからAWS CLI/SDKやSSM Agentを利用する場合、第三者が特権的なネットワーク位置を持つ環境では、第三者が制御するIMDSが想定外のAWS認証情報を返し、顧客が意図しないAWSアカウントとやり取りする恐れがある。AWSはデータ境界外でAWSツールを使う際に各種インストール・設定ガイドに従うこと、およびオンプレ環境で稼働するIMDSエンドポイントの監視を推奨している。影響対象はIMDSv1とIMDSv2の両方。
IMDSなりすまし: 非EC2ノードで第三者制御のIMDSが想定外の認証情報を返す恐れ (AWS-2025-021)
Bulletin ID: AWS-2025-021
Scope: AWS
Content Type: Important (requires attention)
Publication Date: 2025/10/07 01:30 PM PDT
Description:
AWS is aware of a potential Instance Metadata Service (IMDS) impersonation issue that would lead to customers interacting with unexpected AWS accounts. IMDS, when running on an EC2 instance, runs on a loopback network interface and vends Instance Metadata Credentials, which customers use to interact with AWS Services. These network calls never leave the EC2 instance, and customers can trust that the IMDS network interface is within the AWS data perimeter.
When using AWS tools (like the AWS CLI/SDK or SSM Agent) from non-EC2 compute nodes, there is a potential for a third party-controlled IMDS to serve unexpected AWS credentials. This requires the compute node to be running on a network where the third party has a privileged network position. AWS recommends that when using AWS Tools outside of the AWS data perimeter, customers follow the installation and configuration guides (AWS CLI/SDK or SSM Agent) to ensure this issue is mitigated. We also recommend that you monitor for IMDS endpoints that may be running in your on-prem environment to proactively prevent such impersonation issues from a third party.
Affected versions:
IMDSv1 and IMDSv2