Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
アキキー | Akihisa Ikeda
May 20, 2026
Programming
220
2
Share
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
アキキー | Akihisa Ikeda
May 20, 2026
More Decks by アキキー | Akihisa Ikeda
See All by アキキー | Akihisa Ikeda
AWSはOSSをどのように 考えているのか?
akihisaikeda
1
150
最初からAWS CDKで技術検証してもいいんじゃない?
akihisaikeda
4
220
責任感のあるCloudWatchアラームを設計しよう
akihisaikeda
4
240
AWS CDKの推しポイントN選
akihisaikeda
1
310
地獄絵図!CDKプロジェクトを手動更新して生まれた大量のプロパティ差分を解消する方法
akihisaikeda
5
1.1k
AWS CDK初期設定のプラクティス集 with Projen
akihisaikeda
2
480
AWS CDKの推しポイント 〜CloudFormationと比較してみた〜
akihisaikeda
4
750
AI生成記事をリライトし満足度を上げようとしたら大変だった話
akihisaikeda
0
62
スモールスタートで始めるためのLambda×モノリス(Lambdalith)
akihisaikeda
2
1.1k
Other Decks in Programming
See All in Programming
JavaDoc 再入門
nagise
0
260
AIチームを指揮するOSS「TAKT」活用術 / How to Use “TAKT,” an OSS Tool for Orchestrating AI Teams
nrslib
6
800
今さら聞けないCancellationToken
htkym
0
220
脅威をエンジニアリングの糧にして――現場編 / Turning Threats into Engineering Fuel — Field Edition
nrslib
0
240
AI駆動開発勉強会 広島支部 第一回勉強会 AI駆動開発概要とワークショップ
hayatoshimiu
0
430
代数的データ型って何が嬉しいの? #frontend_phpcon_do
kajitack
8
3.1k
oxlintはeslint/typescript-eslintを置き換えられるのか
shomafujita
2
310
PHPで使える日時の表現と、その知り方 #frontend_phpcon_do
o0h
PRO
0
180
「エンジニアインターン、どうやって取った?」準備のリアルを語るLT会 Progate BAR
akiomatic
0
120
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
terryu16
0
240
AIとASP.NET Coreで雑Webアプリを作った話
mayuki
0
160
「AIで開発し、AIを届ける」をEvalでつなぐ 〜AIネイティブに始めるプロダクト開発の実践〜 / Connecting "Develop with AI, deliver AI" with Eval
rkaga
4
1.8k
Featured
See All Featured
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
160
For a Future-Friendly Web
brad_frost
183
10k
The World Runs on Bad Software
bkeepers
PRO
72
12k
Amusing Abliteration
ianozsvald
1
190
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
16k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
190
WCS-LA-2024
lcolladotor
0
610
Side Projects
sachag
455
43k
Designing Powerful Visuals for Engaging Learning
tmiket
1
390
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
600
How to Ace a Technical Interview
jacobian
281
24k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
440
Transcript
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた 2026.5.20 池田 晃尚(@akikii__)
アキキー | 池田 晃尚 株式会社メイツ バックエンドエンジニア / SRE 推しサービス AWS
CDK AWS CDKへのコントリビュート 8件 JAWS-UG CDK支部運営
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath → たくさんのツールがサプライチェーン攻撃による侵害を受けています!
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは SBOMを利用してコンテナイメージへの影響範囲を 一瞬で特定する方法を紹介します!
SBOM?
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0"
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0" ECR拡張スキャンを利用すると SBOMをエクスポートできる!
ECR拡張スキャン?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) ECRイメージスキャン(拡張スキャン)とは?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) OS・パッケージ/ライブラリの脆弱性を検出 脆弱性DBにCVEが追加されるとスキャン(継続スキャンの場合) コンテナイメージの SBOM をエクスポートできる ECRイメージスキャン(拡張スキャン)とは? ※
ECRベーシックスキャン、プッシュスキャンはSBOMエクスポート非対応
サプライチェーン攻撃の影響範囲を調査する
SBOM なし SBOM あり 攻撃が公表される イメージごとに手動で調査 する SBOM を横断検索して影響イ メージを抽出
対策を行う サプライチェーン攻撃の影響範囲調査(例)
アーキテクチャ CI/CDで拡張スキャンのAPIを呼び出してSBOMをエクスポート
影響調査デモ AthenaでSBOMを検索して影響調査を行う 0:00 / 0:17
まとめ SBOMを横断で検索する仕組みを作ると サプライチェーン攻撃の影響調査が爆速で 終わる!!!
宣伝
AWS CDK Conference Japan 2026 7.18(土) 開催決定! JAWS-UG CDK支部 主催
詳細は近日公開予定 Call for Proposal 登壇者募集中! (5/31 23:59まで)
株式会社メイツ Mates Inc. AWS Summit Japan 2026 2026.6.25 (木) –
26 (金) 幕張メッセ S P E A K E R A N N O U N C E M E N T 弊社チーフエンジニアが AWS Summit Japan に登壇します S P E A K E R 後藤 健太 AWS DevTools Hero 株式会社メイツ / Chief Engineer D E V 3 5 2 B R E A K O U T S E S S I O N 2026.6.26 (金) 13:40 – 14:10 幕張メッセ Hall 4 / Room 11
リードエンジニア(バックエンド/フロントエンド/SRE) 積極採用中 株式会社メイツ Mates Inc. カジュアル面談はこちら
Thank You! \ ご清聴ありがとうございました! /
akihisaikeda
nagise
nrslib
htkym
hayatoshimiu
kajitack
shomafujita
o0h
akiomatic
terryu16
mayuki
rkaga
techseoconnect
brad_frost
bkeepers
ianozsvald
sstephenson
sarafernandez
lcolladotor
sachag
tmiket
tammyeverts
jacobian
konakalab
