Upgrade to Pro — share decks privately, control downloads, hide ads and more …

雑な攻撃からELBを守る一工夫 +おまけ / Know-how to protect serv...

Avatar for hiroga hiroga
June 26, 2022
Technology
0
2.6k

雑な攻撃からELBを守る一工夫 +おまけ / Know-how to protect servers from miscellaneous attacks

Avatar for hiroga

hiroga

June 26, 2022
Tweet

More Decks by hiroga

See All by hiroga
マルチモーダル理解と生成の統合 DeepSeek Janus, etc... / Multimodal Understanding and Generation Integration
Avatar for hiroga hiroga
0
590
LlamaGen: LlamaのNext-Token予測を使った画像生成 / Autoregressive Model Beats Diffusion: Llama for Scalable Image Generation
Avatar for hiroga hiroga
0
470
人事評価GPTsで評価の本質に向き合おう! / HR GPTs: Essential evaluations focus!
Avatar for hiroga hiroga
1
430
生成AI元年を個人的に振り返る / Reflecting on First Year of the Generative-AI
Avatar for hiroga hiroga
0
370
AWS Startup Day 2023 今日ここで! コスト削減ハンズオン / Cost-Saving Hands-On today!
Avatar for hiroga hiroga
0
140
ChatGPT社内活用資料 / Internal use of ChatGPT
Avatar for hiroga hiroga
0
130
マルチテナントSaaSのカスタム要件に、 Auth0テナントを分割せず向き合う! / Multi tenant SaaS with Auth0
Avatar for hiroga hiroga
1
3k
NestJSで作るマルチテナントSaaS / Multi-tenant NestJS-based SaaS
Avatar for hiroga hiroga
0
1.1k
[AWS CDK] 1,000+のCloudWatch Alarmsを自動生成する技術 / [AWS CDK] Technics to Generate 1,000+ CloudWatch Alarms
Avatar for hiroga hiroga
2
1.7k

Other Decks in Technology

See All in Technology
ML Pipelineの開発と運用を OpenTelemetryで繋ぐ @ OpenTelemetry Meetup 2025-07
Avatar for Yoshimura Naoya getty708
0
290
AI駆動開発 with MixLeap Study【大阪支部 #3】
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
220
Step Functions First - サーバーレスアーキテクチャの新しいパラダイム
Avatar for Taiki Sugawara taikis
1
280
メモ整理が苦手な者による頑張らないObsidian活用術
Avatar for OPTiM optim
0
130
そもそも AWS FIS について。なぜ今 FIS のハンズオンなのか?などなど
Avatar for kazzpapa3 kazzpapa3
2
120
少人数でも回る! DevinとPlaybookで支える運用改善
Avatar for ishikawa-pro ishikawa_pro
3
930
なぜAI時代に 「イベント」を中心に考えるのか? / Why focus on "events" in the age of AI?
Avatar for yuuki takezawa ytake
2
670
Bliki (ja), and the Cathedral, and the Bazaar
Avatar for Koichi ITO koic
8
1.4k
「手を動かした者だけが世界を変える」ソフトウェア開発だけではない開発者人生
Avatar for Yasuhiro Onishi onishi
15
6.4k
激動の時代、新卒エンジニアはAIツールにどう向き合うか。 [LayerX Bet AI Day Countdown LT Day1 ツールの選択]
Avatar for tak tak848
0
550
手動からの解放!!Strands Agents で実現する総合テスト自動化
Avatar for 井手亮太 ideaws
2
330
新規事業におけるAIリサーチの活用例
Avatar for Lanli Ran ranxxx
0
160

Featured

See All Featured
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
246
12k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
42
7.4k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Optimising Largest Contentful Paint
Avatar for Harry Roberts csswizardry
37
3.3k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
It's Worth the Effort
Avatar for 3n 3n
185
28k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
Done Done
Avatar for chrislema chrislema
184
16k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.9k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
223
9.7k

Transcript

  1. 雑な攻撃からサーバーを守る一工夫
 +おまけ
 2022-06-26
 JAWS-UG 福岡 #12:9度目もちょっと濃い目にAWSの話をしてみよう 
 #jawsugfuk #jawsug
 Hiroaki

    Ogasawara @xhiroga


  2. 目次
 • はじめに
 • 攻撃
 • 防御
 • まとめ
 •

    ???
 • 今度こそおわり
 • 参考


  3. 免責
 • 発表者はセキュリティの専門家ではありません。
 ◦ 現在学習中の内容を発表しています。
 ◦ 誤りが含まれる可能性があります。
 はじめに


  4. 自己紹介
 はじめに


  5. 使ってね!
 はじめに


  6. None

  7. 攻撃


  8. None

  9. ごく普通のアーキテクチャです
 攻撃
 ALB ECS DB リスナーは HTTPSのみ 有効 React (SPA)

  10. (数年前)CTO「WAF導入したい〜!」
 攻撃
 現 CTO WAF導入したい〜! 
 コストかかりません? 
 でも攻撃されてますよ 


    マジすか?


  11. マジ。
 攻撃来てました。
 URL未公開なのに。
 (攻撃元IPアドレスも乗っ取り被害者の 可能性があるため隠してます) 
 攻撃
 全部ウチのサーバーに 
 存在しないパス


  12. 思ってたのと違った
 思ってた攻撃
 • APIエンドポイントを調べた上での標的型攻撃 
 • アプリケーションが用いるパスに対して、SQL インジェクションなどを試みる 
 実際の攻撃


    • AWSが持っているIPアドレスを狙った無差別型 攻撃(たぶん)
 • .envの誤コミットや.gitの誤デプロイなど、広くあ りそうな間違いを狙う
 • Binanceなどの大手暗号資産取引所への攻撃 の余波らしいものもある
 攻撃


  13. 大手暗号資産取引所への攻撃の余波 
 GET /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY Accept: application/json, text/plain, */* Host: www.binance.com

    User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0) Alamofire/4.9.0 Mclient-X-Tag: pch5D9lsORjgObhyjdSK timeout: 3000 Connection: close
 実際の攻撃
 攻撃
 無差別攻撃
 GET /.env Host: ***.***.***.*** User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Accept: */* Accept-Encoding: gzip
 ※あくまで私の案件で観測された攻撃を分類しただけで、汎用性や網羅性は全く保証できません。 


  14. 影響
 • 存在しないパスにアクセスされるので、4XXエラーが大量に出る
 ◦ モニタリングの4XXが使い物にならない 
 • 万が一存在する脆弱性を突かれたら不安
 攻撃


  15. 推測
 手法
 • AWSの持っているIPアドレスの範囲を自動で 攻撃?
 • 過去に攻撃対象だったIPアドレスを、私達が引 き当ててしまった?
 • 世界中のIPv4の範囲を自動で攻撃?

    
 • DNSサーバーへのブルートフォース攻撃が成 功し、ドメインを取得した? 
 攻撃者がIPアドレスでアクセスしていると推測した場 合、TLS証明書とはドメインが違うのを無視しているこ とになる。まあ攻撃者は気にしないか... 
 目的
 • 侵入可能なサーバーの探索? 
 • セキュリティの勉強?
 攻撃


  16. 防御


  17. Hostヘッダーで防ぐ
 攻撃
 無差別攻撃(再掲)
 GET /.env Host: ***.***.***.*** User-Agent: Mozilla/5.0 (Windows

    NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Accept: */* Accept-Encoding: gzip
 大手暗号資産取引所への攻撃の余波(再掲) 
 GET /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY Accept: application/json, text/plain, */* Host: www.binance.com User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0) Alamofire/4.9.0 Mclient-X-Tag: pch5D9lsORjgObhyjdSK timeout: 3000 Connection: close
 IPアドレス総当りで攻撃しているせいか *1、Host ヘッダーが的外れ

  18. ※あくまで私の案件で効果が高かっただけで、違う攻撃には効果が薄い可能性があります。 


  19. 6/22 12:16ごろ適用 → 観測範囲では攻撃を 100%ブロック ※6/22以降のAllowedはおそらく全て正常なリクエスト

  20. それ以外の案
 • ALBのHost-based Routingで防ぐ
 ◦ 指定したホスト名以外は403を返す
 • CDNで防ぐ
 ※私達がWAFを用いたのは、単にすでにWAFを使っていたから
 防御


    参考: ALBへのアクセスを特定のHostヘッダのみに限定する方法の一例 - Developers.io 


  21. 試したけど上手く行かなかった案
 防御
 マネジメントルール 有効だが取りこぼしも ある

  22. まとめ


  23. 意外と攻撃を受けている
 • 見直してみましょう。
 • 繰り返しますが、発表者は専門家ではありません。
 ◦ 学習中の内容や誤っている可能性のある内容を含 みます。
 • 皆さんの事例もこの後教えてください!


    まとめ


  24. ちょっと待った!


  25. Hostヘッダーで防ぐ
 ちょっと待った!
 無差別攻撃(再掲)
 GET /.env Host: ***.***.***.*** User-Agent: Mozilla/5.0 (Windows

    NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36 Accept: */* Accept-Encoding: gzip
 大手暗号資産取引所への攻撃の余波(再掲) 
 GET /bapi/fiat/v1/public/fiatpayment/menu?currency=CNY Accept: application/json, text/plain, */* Host: www.binance.com User-Agent: BNC/2.37.0 (build 10; iOS 14.8.0) Alamofire/4.9.0 Mclient-X-Tag: pch5D9lsORjgObhyjdSK timeout: 3000 Connection: close
 IPアドレス総当りで攻撃しているせいか *1、Host ヘッダーが的外れ いやいや、ドメインってIPアドレスか ら逆引きできるのでは? 攻撃者、なぜやらない?

  26. IPアドレスからドメイン名を引く方法(2案)
 1. PTRレコードを見る
 2. TLSでサーバー証明書を取得し、証明書内のドメインを読む
 2. を実験します💡
 ちょっと待った!


  27. 実験
 import ssl from os import environ import OpenSSL host_ip

    = “8.8.8.8” cert = ssl.get_server_certificate((host_ip, 443)) x509 = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, cert) components = x509.get_subject().get_components() hostname_byte = components[0][1] print(hostname_byte.decode('UTF-8'))
 ちょっと待った!


  28. 結果: できる!
 ちょっと待った!
 dns.google

  29. • そもそもが「雑な攻撃」なので、攻撃者もいちいち気にしていない?
 • 同一IPで複数Hostを提供している場合にややこしい?
 • 私達のサーバーを狙った攻撃ではない?
 • etc…
 → 結論、攻撃者の考えはよくわからない...


    なぜ使わない...?
 ちょっと待った!


  30. 補足
 セキュリティエンジニアの友人に伺いました。 
 IPアドレスを基にTLS証明書を取得し、記載されているドメインと突き合わせる手法は、ホワイトハッカーが脅威 ハンティングの一環でフィッシングサイトを検出するために利用しているとのこと。 
 ちょっと待った!


  31. 今度こそおわり


  32. 今度こそおわり
 • 雑な攻撃は一工夫で防げる
 • セキュリティを考え出すと、本質的な理解が必要だなぁ と気づく
 • 参加者の皆様、セキュリティの話しましょう!!!
 ちょっと待った!


  33. 参考


  34. • [AWS]AWSのIP帯域を狙った攻撃の実態と対策 
 • ALBへのアクセスを特定のHostヘッダのみに限定する方法の一例 
 • その他、ご助言をくださった皆様 
 参考