サマリ Capital OneからのSSRF攻撃による大規模な情報漏えい等をうけて、Amazonはインスタンスメタデータに対する保護策としてInstance Metadata Service (IMDSv2) を発表した。本稿では、IMDSv2が生まれた背景、使い方、効果、限界を説明した上で、SSRF対策におけるIMDSv2の位置づけについて説明する。 SSRFとは SSRFは、下図のように「外部から直接アクセスできないエンドポイント」に対して、公開サーバーなどを踏み台としてアクセスする攻撃方法です。SSRF(Server Side Request Forgery)の詳細については過去記事「SSRF(Server Side Request Forgery)徹底入門」を参照ください。 最終的な攻撃目標は多様ですが、近年問題になっているのが、クラウドサービスのインスタンス・メタデータを取得する
![SSRF対策としてAmazonから発表されたIMDSv2の効果と限界](https://cdn-ak-scissors.b.st-hatena.com/image/square/dfff1c45042073cd3b4c93fca45481435933e553/height=288;version=1;width=512/https%3A%2F%2Ffanyv88.com%3A443%2Fhttps%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEhPX8sXegJ-zEZUXLmF8yrLW2i0EcxPCiqoNGXZkfs3YXq8MkyLChYnPcAL9RShlaJpqEmUqsm2uS7OBGx0q18msMDO95XkV5EqhGP8s-OBLYzMRtih5lQ_kScQSX09qkeQdPStgTHaWg%2Fw1200-h630-p-k-no-nu%2Fssrf-imds.png)