今年取り組んでみたいこと - アクセスキー撲滅運動の旗振りかなぁ

今年取り組んでみたいことアクセスキー撲滅運動の旗振りかなぁ【関西開催】AWS Community Builders Meetup 2026 (May 11,
2026) Speaker : @kazzpapa3(ICHINO Kazuaki) / JAWS-UG 神戸

Biography { "Bio": { "Name": "ICHINO Kazuaki a.k.a. kazzpapa3", "Organization":
"A certain AWS partner company", "Role": "Technical Support Engineer", "Favorite AWS Services": [ "AWS CLI", "AWS CloudTrail", "Kiro CLI" ], "Less Favorite AWS Service (as a Support Engineer)": [ "AWS Billing (請求ロジックが難解すぎる)" ], "Personal Interest": "初音ミク", "Socials": { "Twitter/X": "@kazzpapa3", "LinkedIn": "https://www.linkedin.com/in/kazzpapa3/" } } }

昨年からアクセスキーの流出に悩まされています @kazzpapa3 / #AWSCommunityBuilders 3 / 12

何人かのみなさまには話したことがありますが昨年くらいから私の身の回りでアクセスキーの流出による不正利用が相次いでいます正確には私の周りというか会社で提供しているリセールアカウントそのため JAWS DAYS 2026 での登壇など、ネタには事欠かないのですが、さすがにちょっと疲れてきました
リセラー歴が長く古くからのお客様が多い上に、流出したキーが 3,000 日以上ローテーションされていないこともザラだったりします根本的な対策はしていきますが、それは業務での話、今日は個人としてどうするか @kazzpapa3 / #AWSCommunityBuilders 4 / 12

ここのところの数例からもっとも最悪のパターン（AdministratorAccess 相当、あるいはこれになれる権限）がある場合、アクセスキーの不正利用着手後 10 分程度で、大体の犯行（仕込み）が終わっている事例が見られた IAM リソースの削除・改変、バックドアユーザーの作成全リージョンのオプトイン
AutoScaling Group の設定 ECS クラスターの乱立 SageMaker AI Notebook Instance の乱立 10 分程の仕込みで、結果 4,000 + のリソース作成をされていた例も

現状は攻撃者が優位すぎる攻撃者もちゃんと IaC を駆使して目的に到達するまでを自動化している対して防御側は状況や削除対象の把握など、完全に後手に回る事が多く、不正作成されたリソースの削除までにかなりの時間を要する All Deny の
SCP を作ってアタッチするなども検討したが、立ち上がってしまったリソースの OS レイヤー以上の行動は止まらないし、リソースの存在自体が課金を生む先ほどのようなケースで、不正なリソース削除対応をした場面があったが、ECS クラスターの一覧を作成するだけでも 2 時間以上かかった例もある @kazzpapa3 / #AWSCommunityBuilders 6 / 12

生成 AI の力を借りることはできるが調査着手時から Kiro CLI を利用することで全容の把握や、バイブコーディングでの削除スクリプトの作成などもでき、確かに省力化しているただし認知してからの削除では時間がかかるし、その間にも AWS
利用料は積み上がっていく不正に起動されている EC2 インスタンスで停止保護と削除保護の両方がかけられていた例も双方の保護を解除してから削除するスクリプトをリアルタイムで作って実行するも、スポットインスタンスにはそれらのパラメータがないのでスクリプトがエラーを吐く、など、つっかえるポイントが多々 @kazzpapa3 / #AWSCommunityBuilders 7 / 12

やはりアクセスキーが存在していること自体が悪 @kazzpapa3 / #AWSCommunityBuilders 8 / 12

アクセスキー撲滅運動をやっていきます AWS さんが出している良質なコンテンツ Microcredentials という実践型の学習と習熟度の確認コンテンツの一つに AWS Incident Response Demonstrated
がありますこのところ私が封じ込めなどを対応する中で目の当たりにしている事例が満載で、楽しくて辛い良いコンテンツです AWS さんがどうかしたのか（褒めてる）急に無料になったのでぜひ @kazzpapa3 / #AWSCommunityBuilders 9 / 12

個人的にやってみたこと GW 中にひまつぶしでアクセスキー流出を模した CTF（Capture The Flag）のゲームコンテンツを作ってみました流出したアクセスキーの特定から封じ込め、フォレンジック調査を模した対応をしていくコンテンツです
社内で試してみましたがまあまあ良さそう JAWS-UG 神戸かどこかで CTF 大会をやれたらいいな、と思っています @kazzpapa3 / #AWSCommunityBuilders 10 / 12

ちょっと告知 JAWS-UG 神戸やるよー今日のイベントの運営もされているヤマダさんと一緒にゆるくやっていますさらに kiwi さん（池田さん）も運営メンバーに！
よければ遊びに来てください 2026-05-18 19 時からですー @kazzpapa3 / #AWSCommunityBuilders 11 / 12

Have pride in your work. Thank you.

今年取り組んでみたいこと - アクセスキー撲滅運動の旗振りかなぁ

今年取り組んでみたいこと - アクセスキー撲滅運動の旗振りかなぁ

kazzpapa3

More Decks by kazzpapa3

Other Decks in Technology

Featured

Transcript