こんにちは、Azure テクニカル サポート チームの富田です。
一部のお客様に TRACKING ID : J_Z9-7QZ として「Action required: Update certificates for Azure Instance Metadata Service」というタイトルのサービス正常性の通知が配信されました。
基本的には通知の内容をご参照いただきたく存じますが、本件についてお問い合わせを多くいただいておりますため、本記事にて補足として解説させていただきます。
本通知の影響について
この度配信されました通知は、Azure Instance Metadata Service (IMDS) の機能のうち、「構成証明済みデータ」の機能を、お客様が開発されたアプリケーションで使用している場合の注意喚起です。
「構成証明済みデータ」の機能は、対象の VM が Azure 上で実行されていること保証する情報を Azure 基盤による署名付きのデータとして取得できる機能です。
このデータの署名の際に使用される下位証明機関(Subordinate CA)の証明書が更新されることに伴い、後述いたします「証明書のピン留め」がなされている場合の影響が生じる場合に影響が生じる可能性があるため、お知らせとして配信しております。
つまり、以下の条件のいずれかに該当する場合は、お客様への影響はございません。
1. お客様が開発されたアプリケーションにて、IMDS が提供している各種機能の中の「構成証明済みデータ」 の機能を利用していない場合。
IMDS の各種機能のうち、影響を受けるのは下記の「構成証明済みデータ」機能のみです。
「スケジュールされたイベント」の取得など、IMDS の他の機能のご利用には影響はありません。
■ご参考:構成証明済みデータ
https://learn.microsoft.com/ja-jp/azure/virtual-machines/instance-metadata-service?tabs=windows#attested-data
2. 「構成証明済みデータ」を利用するアプリケーションにて、「証明書のピン留め」の実装を行っていない場合。
「証明書のピン留め」は、アプリケーション内で信頼する証明書を固定する実装の手法です。
「証明書のピン留め」は Azure 側が行う操作でもなく、Guest OS 内で自動設定されることもございません。
「証明書のピン留め」 の実装の有無は、アプリケーションに依存いたしますので、誠に恐れ入りますが、「構成証明済みデータ」を利用するアプリケーションにてご確認をいただきますようお願いいたします。
なお、「証明書のピン留め」の手法は、弊社としては推奨はしておりません。
■ご参考:証明書のピン留め
https://learn.microsoft.com/ja-jp/azure/security/fundamentals/certificate-pinning
まとめ
上述の通り、お客様が開発されたアプリケーション内にて IMDS が提供している各種機能の中の「構成証明済みデータ」 の機能を「証明書のピン留め」の実装した上で使用している場合のみ、対応が必要なものとなります。
なお、本通知が届いている環境は必ずそのような実装を行っているというものでもございません。
弊社側からお客様自身が開発されたアプリケーションにて、上記実装を行っているかといった点は弊社より確認が叶いませんので、お客様自身にてご確認が必要となります点ご理解いただけますと幸いです。
しかしながら、上述の通り非常に稀な実装をお客様自身で行っている場合のみ対応が必要なものでございますので、ほとんどのお客様では特段ご対応の必要は無いもの存じます。
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。