2026-03-14 の一覧へ戻るホーム
バケットスクワッティングは、ようやく終息したのです。

2026/03/13 17:31

バケットスクワッティングは、ようやく終息したのです。

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

現在の要約はすべての主要な技術的詳細を網羅していますが、新しい名前空間ルールが遡及しないことを明示し、業界転換に関する広範な推論を除去することでさらに凝縮できます。以下に洗練されたバージョンを示します。

洗練された要約

AWSはS3バケット名の「名前空間」パターンを必須化しました:新しいバケットはすべて 

<prefix>-<accountid>-<region>-an
の形式に従う必要があります。 
-an
サフィックスはアカウント名前空間を示し、所有するアカウントのみがその名前でバケットを作成できるようにします。ユーザーが既存の名前を再利用したり、誤ったリージョンを指定すると、AWS は 
InvalidBucketNamespace
エラーを返します。既存のバケットはこのパターンに合わせてリネームする必要がありますが、このルールは遡及しません。

この変更は、名前をアカウントとロケーションに強く結びつけることで「バケットスコッティング」を防止します。Google Cloud のドメイン検証や Azure のストレージアカウント名24文字制限など、他のクラウドでも類似した名前空間制御が存在します。管理者は 

s3:x-amz-bucket-namespace
条件キーを使用したサービスコントロールポリシーでこのルールを強制できます。

組織はスクリプトを更新し、レガシーバケットの名前変更を行う必要があります。この動きにより、偶発的または悪意あるアクセスからの保護が強化され、クラウドストレージにおける標準化された命名規則への広範な推進も反映されています。

このバージョンではすべての主要ポイントを保持し、推測的な表現を除外しつつ読者にとって明確さを維持しています。

本文

十年間、AWS と第三者のセキュリティチームと協力して Amazon S3 のバケットスキャッティング/バケットスナイピング問題を解決してきました。
ついに AWS は、バケット名の付け方を変えるべきだというソリューションを公開しました。

バケットスキャッティングとは?

2019 年に初めて書いた「S3 Bucket Namesquatting – Abusing predictable S3 bucket names」で説明した通りです。
簡潔に言えば、S3 のバケット名は世界で一意です。バケット所有者が削除すると、その名前は他の誰でも登録できるようになります。攻撃者は同じ名前のバケットを作成し、機密データへアクセスしたりサービスを妨害したりする可能性があります。

多くの場合、

myapp-us-east-1
のように AWS リージョンを末尾に付ける という予測しやすい命名規則が使われます。これだと攻撃者が推測して以前に使用されたバケットを取得しやすく、内部チームの多くが被害に遭っています。私はこの問題について AWS Security Outreach チームと約十年にわたり多数のコミュニケーションを行ってきました。

新しい名前空間

AWS は S3 バケット用に 名前空間(namespace) を導入しました:

<yourprefix>-<accountid>-<region>-an

  • アカウント ID が 
    123456789012
    、プレフィックスが 
    myapp
    、リージョンが 
    us-west-2
    の場合
myapp-123456789012-us-west-2-an

末尾の 

-an
は「アカウント名前空間」を示します。
この構文により、その名前空間を所有するアカウントだけが同名バケットを作成でき、バケットスキャッティング攻撃を効果的に防止できます。
他のアカウントが同じ名前でバケットを作ろうとすると InvalidBucketNamespace エラーが返されます。また、リージョンが名前に指定されたものと一致しない場合も同様です。

AWS はこの名前空間をデフォルトで使用することを推奨しています。
S3 には以前から 

.mrap
--x-s3
-s3alias
などの名前空間が存在していましたが、今回初めて 一般利用向けに推奨 される名前空間が登場します。

組織全体でこのパターンを強制したい場合は、SCP(Service Control Policy)内で 

s3:x-amz-bucket-namespace
条件キーを使用できます。

注意点

  • 既存のバケットやテンプレートには自動的に適用されません。
  • 新規作成するバケットはこの名前空間パターンで作り、データを移行してください。

他クラウドプロバイダーでは?

プロバイダー名前空間の概念
Google Cloud Storageドメイン名検証に基づく名前空間。検証済みドメイン所有者だけが 
myapp.com
のようなドメイン形式でバケットを作成可能。非ドメイン形式ではスキャッティングは残るが、ドメイン形式の利用が対策です。
Azure Blob Storageストレージアカウント名とコンテナ名で構成されます。ストレージアカウント名は 24 文字までに制限されているため、小さな名前空間となります。

TL;DR

  • S3 バケットには 新しい名前空間 が導入され、バケットスキャッティング攻撃を防止します。
  • 新規作成するすべてのバケットは 
    prefix-accountid-region-an
    の形式で命名してください。
  • 既存バケットはこのパターンに移行し、データを再配置する必要があります。

もしこの記事が役立ったと感じたら、LinkedIn や X(旧 Twitter)でご連絡ください。

同じ日のほかのニュース

一覧に戻る →

2026/03/14 7:52

オープンソースドキュメントサイトで、39 個の Algolia 管理キーが漏洩していることを発見しました。

## Japanese Translation: ## 要約 この記事は、Algolia の DocSearch プログラムに広く蔓延するセキュリティ欠陥を暴露しています。多数のオープンソースプロジェクトが誤ってフルパーミッション API キーを公開サイトに掲載し、即座に脅威を生み出しました。 - **主なインシデント**:最初に報告された侵害は 10 月に *vuejs.org* で発生し、サイトがフルアクセスの管理者キーで動作していました。Vue はその漏洩を認め、レポーターを Security Hall of Fame に追加し、キーをローテーションしました。 - **問題の範囲**:調査により、影響を受けた 39 件すべての DocSearch デプロイメントがフロントエンド構成で管理者レベルのキーを使用していたことが判明しました(35 件は数千件の `docsearch-config` ファイルをスクレイピングし、約15 000 のドキュメントサイトをクロールした結果、4 件は GitHub 履歴分析で発見されました)。 - **漏洩した権限**:リークされたキーは検索、addObject、deleteObject、deleteIndex、editSettings、listIndexes、browse、analytics、logs、および NLU アクセスを含む広範な操作を許可しました。 - **高プロファイルの被害者**:Home Assistant(約85 k GitHub スター)、KEDA(CNCF プロジェクト)、vcluster(10万件以上のインデックスレコード)などが露出対象でした。 - **根本原因**:開発者は意図した検索専用キーではなく、書き込みまたは管理者キーを公開フロントエンド構成に誤って埋め込んでしまいました。 - **ユーザーと企業へのリスク**:攻撃者は任意のレコードを追加・変更・削除し、インデックス全体を削除したり、ランキング設定を変更したり、すべてのインデックス済みコンテンツをエクスポートしたり、悪意あるリンクで検索結果を汚染したり、フィッシングリダイレクトを開始したり、検索機能を完全に停止させる可能性があります。企業は評判損失と運用障害に直面しました。SUSE/Rancher は公開後 2 日以内にキーを取り消し、Home Assistant は修復を開始していましたが、報告時点では元のキーをアクティブなままでした。 - **著者のアウトリーチ**:著者は数週間前に Algolia に漏洩したすべてのキーの完全リストをメールで送付しましたが、返答はありませんでした。残りのすべてのキーは現在も有効です。 - **手法**:約3 500 のアーカイブ済み `docsearch-config` ファイルをスクレイピングし、15 000 近いドキュメントサイトで正規表現による埋め込みクレデンシャルのクロール、GitHub コード検索、および TruffleHog を 500 以上のリポジトリに対して実施しました。 - **将来展望と修復推奨**:誤設定されたキーは39 件を超えている可能性があります。DocSearch を運用している場合、フロントエンド構成に埋め込まれたキーが **検索専用** キーであることを確認し、公開サイト上で書き込み/管理者キーの使用を避けてください。 このインシデントは、Algolia の DocSearch プログラムにおいて開発者が意図せずフルアクセスキーをスケールして露出させるという体系的な問題を浮き彫りにし、オープンソースエコシステム全体でより厳格なキー管理実践の必要性を強調しています。

2026/03/13 21:46

はい。ご自身のハードウェア上で多くのAIモデルをローカルに実行することが可能です。 典型的な手順は次のとおりです。 1. **モデルを選択**(例:GPT‑2、LLaMA、Stable Diffusionなど)。 2. **依存関係をインストール**。PyTorchやTensorFlow、そして対象モデルのリポジトリをセットアップします。 3. **重みファイルをダウンロード**してローカルに保存します。 4. **推論を実行**。スクリプトやAPIラッパー経由でローカル上で動作させます。 GPT‑4規模の大型モデルの場合は、強力なGPUや専用ハードウェアが必要になります。一方、より小型・蒸留済みバージョンなら一般的なノートPCでも実行可能です。

## Japanese Translation: 提供された要約は明確で簡潔であり、リストのすべての重要ポイントを正確に反映しつつ、有用な文脈フレームワークも提示しています。修正は不要です。

2026/03/11 23:34

**Show HN:Channel Surfer – YouTubeをまるでケーブルTVのように見る**

## Japanese Translation: **概要:** Channel Surfer Press は準備が整い、すでにRDUによって構築されています。