セキュリティサービス部 佐竹です。
本ブログは、Amazon Inspector で検出される「IN-DISCONTINUED-001」という独自の検出結果についての解説ブログです。

• はじめに
• 検出内容の確認
• なぜ IN-DISCONTINUED-001 が表示されるのか
• いつこの機能がリリースされたのか？
• なぜ Critical なのにスコアがないのか？
  • スコアが存在しない理由
  • それでも Critical である理由
• どのような対応をすべきか
• まとめ

はじめに

さて、何故このようなブログを書こうと思ったかというと、本検出結果である IN-DISCONTINUED-001 という ID を Google 検索しても、情報が全く出てこなかったためです。

エラーコードや ID で検索してヒット件数が 0 件となると、正直困ります。ですので、同様の検出結果に遭遇し、困っているエンジニアの助けになればと思い記述しています。

なおそのため、本ブログは非常に簡素です。また既に Amazon Inspector を運用されている方が閲覧される想定のため、Inspector についての説明などは省きます。

検出内容の確認

では本題です。

Amazon Inspector を有効化している環境で、見慣れない検出結果がありました。Severity（重要度） は Critical となっています。

「Platform End Of Life」、つまりプラットフォーム（OS）の EOL が過ぎている OS が存在していることがわかります。

• Severity: Critical
• Vulnerability ID: IN-DISCONTINUED-001

この「Platform End Of Life」の「Vulnerability ID」を確認すると、IN-DISCONTINUED-001 になっていることがわかります。

「Inspector score and vulnerability intelligence」のタブを開いて、スコアを見てみましょう。

• Title: Platform End Of Life
• Description: Discontinued Operating System: This resource relies on an operating system that is discontinued and no longer actively supported or maintained by the original developer. Amazon Inspector previously provided full support for this operating system and will continue to scan impacted resources. However, any findings generated are for informational purposes only.
• Inspector score: The Inspector score is not available.

EOL 自体には、CVE に登録があるわけではないため、CVSS のスコアも Inspector の独自のスコアも存在しません。このため Findings の json では Severity で Critical が強制的に割り当てられている状況のようです。

なぜ IN-DISCONTINUED-001 が表示されるのか

さて、繰り返しになりますが IN-DISCONTINUED-001 は、「利用している OS のサポート期間が終了している（EOL: End Of Life）」ことを示しています。

特定の CVE（脆弱性）が発見されたわけではなく、「OS 自体がもうサポートされていないため、利用し続けること自体がリスクである」という警告です。

AWS の公式ドキュメントには、Inspector がサポートする（またはサポートを終了した）OS のリストが掲載されています。

• Amazon Inspector でサポートされているオペレーティングシステムとプログラミング言語

docs.aws.amazon.com

このドキュメント内の「Discontinued operating systems（終了したオペレーティングシステム）」に該当する OS を利用している場合、Inspector は通常の脆弱性スキャン（CVE の照合）とは別に、本 IN-DISCONTINUED-001 を検出します。

いつこの機能がリリースされたのか？

2025年3月12日（日本時間で13日）です。

aws.amazon.com

さらに、Amazon Inspector は、Amazon EC2 インスタンスと Amazon ECR コンテナイメージで実行されている廃止されたオペレーティングシステムの識別をサポートするようになりました。Amazon Inspector は、情報提供のみを目的として、廃止されたオペレーティングシステムを使用しているリソースに関する検出結果を生成し、リスク軽減戦略の優先順位付けをサポートします。

本アップデートにより検出が開始されるようになりました。

"firstObservedAt"を見ると、"2025-03-08T08:38:33.826Z" となっている通り、3月8日から実際には動き始めていたようです。

なぜ Critical なのにスコアがないのか？

「Platform End Of Life」は先の通り、以下の特徴を持ちます。

1. CVSS スコアや Inspector スコアが存在しない
2. スコアがないのに、重要度が「Critical（緊急）」になっている

スコアが存在しない理由

通常、脆弱性には CVE-2021-44228 (Log4j) のように CVE ID が割り当てられ、CVSS という共通の指標で「10.0」のようなスコアが算出されます*1。

しかし、EOL（サポート終了）は「特定の不具合等」ではありません。 「攻撃手法」や「攻撃の難易度」を計算する対象ではないため、CVSS スコアを算出するための計算式に当てはめることができないのでしょう。これは Inspector の独自スコアも同様です*2。

それでも Critical である理由

では、なぜスコアがないのに重要度が最高レベルの Critical なのか考えてみます。

おそらくこれは、「守る術がない」状態だからでしょう。

サポートが終了した OS には、今後どれだけ致命的な脆弱性が発見されても、ベンダーから修正パッチが提供されることはありません。つまり、これから見つかる脆弱性はすべて「ゼロデイ脆弱性」として残り続けてしまいます。

Extended Life-cycle Support (ELS) のような仕組みがあれば、費用を支払うことで公式に延長サポートも可能となりますが、そのような仕組みがない OS や、延長サポートに入っていない OS は、時間の経過と共に非常に脆弱となる可能性が高いということです。

どのような対応をすべきか

詳細画面の Fix available 項目を見ると No となっています。

「Viewing details for your Amazon Inspector findings」で説明がされている通りですが「NO, which means no affected packages have a fixed version.」となります。ですが、EOL している OS の場合はパッチを待っていても出ることはありません。

ですので対応策は「サポートされている OS へ移行するか、既存の OS をアップグレードする」しかありません。

まとめ

本ブログでは、Amazon Inspector で検出される IN-DISCONTINUED-001 について解説しました。

発端としては、2025年3月12日にリリースされた新機能により、Platform End Of Life の結果が Inspector へ新規に追加されることになりました。本検出結果はこの機能アップデートによるものです。

• 意味: OS のサポート期限切れ (EOL) を示す独自の ID
• スコア: 特定の脆弱性ではないため、CVSS や Inspector スコアは付与されない
• 重要度: 今後パッチが提供されないこともあり、Severity が Critical となる
• 対応: OS のバージョンアップまたは移行が必須

もしレポート作成などで「スコアが入っていないな？」となったり、集計で困ったりした場合は、「これは通常の脆弱性ではなく、Platform End Of Life（OSサポート終了）であり、特例としてスコア 10.0 相当として扱う」のが良いと考えます。

本情報が、どなたかの助けになれば幸いです。

では、またお会いしましょう。