Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 505

IAM 権限昇格

IAM 権限昇格 とは何ですか?

IAM 権限昇格既存のクラウド IAM 権限を悪用し、ポリシーの編集、ロールの引き受け、または自身への管理者権限付与によってより高い権限を獲得する手法。

クラウド環境での IAM 権限昇格は、権限が限定された主体が正当な API アクションを使ってより広範な権限や管理者権限へ到達することを指します。AWS の典型的な経路には、別ユーザーに対する iam:CreateAccessKey、iam:PutUserPolicy、特権ロールへの sts:AssumeRole、強力なロールを持つ関数への lambda:UpdateFunctionCode、ec2:RunInstances を介した PassRole 悪用などがあります。Azure(ロール割り当て書き込み)や GCP(setIamPolicy)にも同等の経路があります。Pacu や PMapper といったツールはこれらの連鎖を自動列挙します。防御側は iam:Pass、iam:Put、*:Update を制限し、Permission Boundary や SCP を強制し、CloudTrail で IAM 変更をすべて記録して危険な組み合わせに警告を出します。

  1. 01

    管理者ユーザーに対し iam:CreateAccessKey を持つ読み取り専用ユーザーが新規キーを発行し、完全なアクセスを得る。

  2. 02

    AdministratorAccess で動作している Lambda 関数のコードを更新する。

よくある質問

IAM 権限昇格 とは何ですか?

既存のクラウド IAM 権限を悪用し、ポリシーの編集、ロールの引き受け、または自身への管理者権限付与によってより高い権限を獲得する手法。 サイバーセキュリティの クラウドセキュリティ カテゴリに属します。

IAM 権限昇格 とはどういう意味ですか?

既存のクラウド IAM 権限を悪用し、ポリシーの編集、ロールの引き受け、または自身への管理者権限付与によってより高い権限を獲得する手法。

IAM 権限昇格 はどのように機能しますか?

クラウド環境での IAM 権限昇格は、権限が限定された主体が正当な API アクションを使ってより広範な権限や管理者権限へ到達することを指します。AWS の典型的な経路には、別ユーザーに対する iam:CreateAccessKey、iam:PutUserPolicy、特権ロールへの sts:AssumeRole、強力なロールを持つ関数への lambda:UpdateFunctionCode、ec2:RunInstances を介した PassRole 悪用などがあります。Azure(ロール割り当て書き込み)や GCP(setIamPolicy)にも同等の経路があります。Pacu や PMapper といったツールはこれらの連鎖を自動列挙します。防御側は iam:Pass、iam:Put、*:Update を制限し、Permission Boundary や SCP を強制し、CloudTrail で IAM 変更をすべて記録して危険な組み合わせに警告を出します。

IAM 権限昇格 からどのように防御しますか?

IAM 権限昇格 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

IAM 権限昇格 の別名は何ですか?

一般的な別名: クラウド権限昇格, IAM Privesc。

関連用語

関連項目