CVE-2025-0693として識別された脆弱性が、AWS Identity and Access Management（AWS IAM）のサインインログインフローで発見されました。この問題により、攻撃者は、ログイン試行時のサーバー応答時間を測定することで、AWS IAMユーザー名を列挙することができました。応答時間の違いにより、提出されたAWS IAMユーザー名がアカウントに存在するかどうかが明らかになります。ただし、ユーザー名情報だけでは認証やAWSリソースへのアクセスには不十分です。アカウント識別子、ユーザー名、パスワード、マルチファクターオーセンティケーションが必要です。AWSには、サインインエンドポイントの不正使用を監視および対応するための複数の保護レイヤーがあります。影響を受けるバージョンは、2025年1月16日以前のAWS Sign-in IAMユーザーログインフローです。AWSは、すべての認証失敗シナリオに対する応答時間に遅延を導入し、有効なユーザー名列挙を防ぐために対策を講じました。顧客の対応は不要であり、AWS CloudTrailを使用してサインインアクティビティを監視することができます。Rhino Security Labsは、調整された脆弱性開示プロセスを通じてこの問題に協力しました。