- 公開日
- 最終更新日
【Amazon Inspector】脆弱性スキャン後の対処方法
この記事を共有する
目次
はじめに
本記事では、Amazon Inspectorで検出された脆弱性を起点に、
EC2インスタンスの利用状況とバージョン確認から修正対応までの手順をご紹介します。
今回は、OpenSSLの重大脆弱性 CVE-2025-15467 を例に、具体的な対応フローを整理します。
脆弱性スキャンで「CRITICAL」と表示された場合でも、
- 対象のパッケージは実際に利用されているか
- 実行中(稼働中)のバージョンは何か
- どのバージョンへ更新すれば脆弱性が解消されるのか
を正確に確認することが重要です。
背景・課題
Amazon Inspectorのスキャン結果にて、OpenSSLに関するCRITICAL脆弱性が検出されました。
対象パッケージ:
- openssl
- openssl-libs
対象プラットフォーム:
- RHEL 9
重大な脆弱性は、以下の影響が懸念されるため、迅速な確認と対応が必要です。
- サービス停止(DoS)
- リモートコード実行(RCE)
検出された脆弱性情報
| 項目 | 内容 |
|---|---|
| 脆弱性ID | CVE-2025-15467 |
| Severity | CRITICAL |
| CVSSスコア | 9.8 |
| 対象パッケージ | openssl / openssl-libs |
| プラットフォーム | RHEL 9 |
手順1:Inspector結果の確認
InspectorのFinding画面で以下を確認します。
| 確認項目 | 内容 |
|---|---|
| Resource ID | 対象EC2インスタンスID |
| Affected Packages | 影響パッケージ |
| Package Installed Version | 現在のバージョン |
| Fixed in Version | 修正済みバージョン |
| Remediation | 推奨対応内容 |
手順2:対象EC2へログイン
対象インスタンスへログインします。
接続方法(SSH鍵、ユーザー名、踏み台構成、SSM Session Manager など)は環境により異なるため、
環境に応じた認証方式・ネットワーク構成に従って接続してください。
手順3:現在インストールされているバージョン確認
パッケージ確認
rpm -qi openssl
rpm -qi openssl-libs
または
dnf list installed | grep openssl
Inspector検出時の例:
openssl-3.0.7-27.el9
openssl-libs-3.0.7-27.el9
実行バージョン確認
openssl version -a
Inspectorの表示内容と一致することを確認します。
手順4:修正済みバージョンの確認
InspectorのFinding画面より、修正済みバージョンを確認します。
例:
openssl-3.5.1-7.el9_7
openssl-libs-3.5.1-7.el9_7
また、RHEL公式セキュリティアドバイザリでも修正情報を照合します。
RHEL公式セキュリティアドバイザリの確認手順
- https://access.redhat.com/security/security-updates/cve へアクセス
- 検索欄に脆弱性ID(例:CVE-2025-15467)を入力し、Submit
- 対象CVEのページを開く
- 「Products / Services」で対象プラットフォーム(例:RHEL 9)を確認
- 対応する「Errata(RHSA)」をクリック
- 「Overview」「Updated Packages」で修正済みパッケージを確認
手順5:修正対応(アップデート)
RHEL 9環境の場合:
sudo dnf update openssl openssl-libs -y
または全体更新:
sudo dnf update -y
手順6:更新後の確認
アップデート完了後、再度バージョン確認を実施します。
openssl version
修正済みバージョンへ更新されていることを確認します。
手順7:Inspector再スキャン確認
アップデート後、Inspectorで再評価を確認します。
Findingステータスが
RESOLVED
となっていれば対応完了です。
まとめ
今回は、Amazon Inspectorで検出されたOpenSSL脆弱性(CVE-2025-15467)を例に、対応フローを整理しました。
■ 実施内容
- Inspectorで検出内容確認
- EC2内の実インストール状況確認
- 修正済みバージョンとの比較
- パッケージ更新
- 再スキャン確認
■ ポイント
- 検出結果を鵜呑みにせず、必ず実機確認を行う
- 修正済みバージョンは公式アドバイザリと照合する
- 更新後は再評価まで確認する
脆弱性対応は「検出」ではなく、
確認 → 修正 → 再検証 までがゴールです。
脆弱性対応時の一助となれば幸いです。
この記事は私が書きました
橋本 歩
記事一覧AWSと犬が好きです。
