2025–2026 を振り返る 〜 そういえば Festa でも Days でも登壇機会をいただいたな

Transcript

1. 2025–2026 を振り返る そういえば Festa でも Days でも登壇機会をいただいたな JAWS-UG金沢 #108 JAWS

   DAYS 2026 & 2025年度振り返りLT会 (March 28, 2026) Speaker : @kazzpapa3(ICHINO Kazuaki) / JAWS-UG 神戸

2. Biography { "Bio": { "Name": "ICHINO Kazuaki a.k.a. kazzpapa3", "Organization":

   "A certain AWS partner company", "Role": "Technical Support Engineer", "Favorite AWS Services": [ "AWS CLI", "AWS CloudTrail", "Kiro CLI" ], "Less Favorite AWS Service (as a Support Engineer)": [ "AWS Billing (請求ロジックが難解すぎる)" ], "Personal Interest": "初音ミク", "Socials": { "Twitter/X": "@kazzpapa3", "LinkedIn": "https://www.linkedin.com/in/kazzpapa3/" } } }

3. ただいま！金沢！！ 実は金沢生まれです 金沢市立鞍月小学校 1年2組12番 です 今回は JAWS-UG 金沢駆動で親父のお見舞いとして帰ってきました 校歌など歌の一題目、二題目という数え方があると思いますが、実はあ れ、金沢弁です

   全国的には一番、二番 地元民じゃない人の金沢ネタを放り込んだところで…

4. この 1 年を振り返ってみる @kazzpapa3 / #jawsug_kanazawa 4 / 24

5. JAWS FESTA 2025 in 金沢 生まれ故郷ということで実行委員に混ぜてもらいました プラス CfP も出してみました JAWS

   DAYS 2025 のときも CfX を出していて、途中から実行委員 に入りました 実行委員として入ったタイミングが、ちょうどプロポーザルの投票 を開始したタイミングでした 自分のプロポーザルに票が入らない状況を目の当たりにするのは気 持ちのいいものではなかったのですが、金沢の時はふぁらおさんが 用意した OSS がよくできていて、その様子を見ずに済みました @kazzpapa3 / #jawsug_kanazawa 5 / 24

6. JAWS FESTA 2025 in 金沢での登壇 提出していた CfP は採用いただけて「リセラー企業のテクサポ担当が 考える、生成 AI

   時代のトラブルシュート 2025」と題してお話しする ことができました Amazon Q Developer for CLI（当時）をトラブルシュートに活用でき るけど、注意点もあるよ、という主旨でお話ししました 社内で可能性を探っていたときに、AWS SAW に代表されるような SSM Runbook や SSM Run Command で「直せちゃった」という場 面を目の当たりにすることがあり、直せちゃったら困るケースもあるだ ろうな、という観点からでした @kazzpapa3 / #jawsug_kanazawa 6 / 24

7. 資料はこれ 7 / 24

8. 半年経って変化や進化はあったか 登壇していた際の論調から大きな変化はなく、懸念している問題は解決 していない やはり Kiro CLI を実行している 環境に内包している aws configure

   がどの権限を持っているかの意識は必要 だと考えています ただ、その点を気をつけさえすれば、生成 AI に聞いたり壁打ちしなが ら、AWS CLI で調査も行えるメリット は大きいと考えています さまざまなツールを横断せずにトラブルシュートが行える のは AWS が 提供するツールに閉じていることのメリットと思えます @kazzpapa3 / #jawsug_kanazawa 8 / 24

9. ただ、この頃水面下では… JAWS DAYS 2026 で話した件の問題はすでに始まっていた Abuse Report 受信 in 能登半島（大人の遠足中）

   @kazzpapa3 / #jawsug_kanazawa 9 / 24

10. 厳密には 7 月の終わりころに… 顧客にリセールしているアカウントで アクセスキーが不正利用され、 顧客が意図しない AWS 利用料の高騰が発生 していた 額が大きく、同様の事例が起きないように/起きても高騰しないように

    Abuse 系の通知に対して社内が過敏な状況だった 社内がそんなムードだったため PC を持ち歩くようにして気にかけてい たら、Festa 翌日の大人の遠足中に Abuse レポートを受け取ることに バスの中であちこちに連絡していたりしてたら、なおみさんの集合写真 撮影が終わってた、というのが前のページの写真 悔しいから欠席した子っぽく加工した @kazzpapa3 / #jawsug_kanazawa 10 / 24

11. 冗談はさておき、大きな被害のあった昨年 7 月以降 8月終わりの JAWS-UG 岡山の会場入りする寸前に Abuse 受信 8月上旬に社員旅行で北海道にいた、ススキノの飲み屋で Abuse

    受信 などなど、こちらの状況お構いなしで、土日でも深夜でも Abuse Report が飛んでくる状態 相手の国のタイムゾーンを考慮して気付かれにくい時間帯に犯行がおこ なれている状況 や、リスクがお客様に正しく伝わらないもどかしさな どを体験しました @kazzpapa3 / #jawsug_kanazawa 11 / 24

12. 7 月の時の攻撃手法が意外と知られていなかった 被害は大きく 2 回あった 最初はアクセスキーをそのまま使われた ただしそのままアクセスキーを使うのではなく、別のキーを作ってい ろいろやられた（やってたのは結局マイニング） 漏れたアクセスキーや作られたアクセスキーなどは全て削除した後で、 2

    回目の被害があった 1 回目の侵入の際に AWS Organizations でメンバーアカウントを 払い出したときにデフォルトで作られる IAM ロールの AssumeRole 元の AWS アカウント ID を書き換えられていた @kazzpapa3 / #jawsug_kanazawa 12 / 24

13. ちなみに手法はパッケージ化されていそうです すべてのリージョンをオプトインする Auto Scaling Group が作られ ECS がゾンビのように起動してくる SageMaker Notebook

    インスタンスが作られる IAM 周りだと、IAM ユーザーのログインプロファイルを削除されて発 見を遅らせたり、それっぽいリソースを作って目を逸らしつつ、バック ドア用に OrganizationsAccountAccessRole の AssumeRole 元を書 き換えられたり… でもきっと新しい攻撃手法はいろいろと産み出されていそう @kazzpapa3 / #jawsug_kanazawa 13 / 24

14. 資料はこれ 14 / 24

15. アーカイブもあり 15 / 24

16. 結局、永続的な認証情報をどうするか 当たり前だけど結局権限管理 AdministratorAccess はもってのほかだけど、IAMFullAccess も実 質 AdministratorAccess というより IAM に対して

    C R UD 出来る権限も危ない AWS もアクセスキーに依存しなくて済む方法をさまざまリリースして くれている それでも、アクセスキーを使うしかない場面もなくはない そのため、対象の業務に無関係な権限がついていないか、最小権限に なっているかの観点が大事 @kazzpapa3 / #jawsug_kanazawa 16 / 24

17. 対応はなかなか大変だったけど セキュリティについてあらためて考えるいい機会になった 実はテクサポではあるもののリセールアカウントのサービスオーナー部 門でもある（だった） そのため提供仕様やエンドユーザーについてもより意識するようになっ た @kazzpapa3 / #jawsug_kanazawa 17

    / 24

18. 縁遠いと思っていた Security-JAWS にも挑戦 よくわからない人向けの IAM Identity Center とちょっとした落とし 穴 1,000

    にも届く AWS Organizations 組織のポリシー運用をちゃんと したい、という話 意外と話を聞いてもらえたし、資料も見てもらえた @kazzpapa3 / #jawsug_kanazawa 18 / 24

19. もうちょい振り返ってみる 思えば 2024年の JAWS-UG北陸新幹線 (福井開催) で JAWS 初登壇を してみてから今まで、登壇のモチベーションは なんとなくのモヤモヤ

    責任共有モデルや Design for Failure などの考え方など、AWS の哲学 とちょっとずれたところで使っているユーザー にモヤモヤしてること が源泉っぽい リセラーのテクサポとしてお客様と AWS の中間地点の、やや AWS に 肩入れしている立場にいるから見える/感じる もっとこうしたらいいの に、という思い が軸っぽい @kazzpapa3 / #jawsug_kanazawa 19 / 24

20. 世間的にはもうじき新年度なので、抱負的な へーしゃは期が 3 月始まりなので、実はすでに新年度 リセールアカウントの企画・維持管理部門が新設されたので、私はあら ためてテクニカルサポート寄りに戻った いきがかり上、多少興味の湧いたセキュリティという目線も加えつつ、 お客様と AWS の中間地点からの景色を引き続き楽しもうかという所存

    @kazzpapa3 / #jawsug_kanazawa 20 / 24

21. Security is job zero. Thank you.

22. Appendix 22 / 24

23. 参考資料 リセラー企業のテクサポ担当が考える、生成 AI 時代のトラブルシュー ト 2025 Abuse report だけじゃない。AWS から緊急連絡が来る状況とは？昨

    今の攻撃や被害の事例の紹介と備えておきたい考え方について 【JAWS DAYS 2026 】D3 Abuse report だけじゃない。AWS から緊 急連絡が来る状況とは？昨今の攻撃や被害の事例の紹介と備えておきた い考え方について 23 / 24

24. 参考資料 よくわからない人向けの IAM Identity Center とちょっとした落とし 穴 1,000 にも届く AWS

    Organizations 組織のポリシー運用をちゃんと したい、という話 24 / 24