IAMアクセスキー漏洩について

Transcript

1. IAM アクセスキー漏洩について 実例から学んだこと 平木佳介（Hiraki Keisuke ） 1

2. 自己紹介 平木佳介（Hiraki Keisuke ） 所属: 株式会社サイバーセキュリティクラウド ロール: テクニカルアカウントマネージャー 取扱製品: CloudFastener

   専門分野: クラウド環境におけるセキュリティやガバナンス クラウド利用ガイドラインの策定 認定 2025 Japan All AWS Certifications Engineers AWS Community Builders - Cloud Operations 2

3. 「アクセスキー漏洩が複数回発生している お客様の相談に乗ってくれませんか？」 ある日、営業さんから相談依頼が来たため同席 3

4. 事案の詳細 何が起こったのか？ システム構成 CloudSearch を使用した検索機能 外部公開 Web アプリケーション アクセスキーによる認証 発生状況

   AWS からの漏洩通知 数日おきに繰り返し発生 通知の度にキー変更 技術的制約 IAM ロール利用困難 Secret Manager 呼び出し困難 お客様の状況 「どうしたらいいか分からない」 「毎回キーを変更するのが限界」 4

5. 当時の運用フロー アプリケーション チャットアプリ アプリケーション チャットアプリ 🚨 平文で送信 🚨 人力作業 管理者

   担当者 アクセスキーをDM で送付 アクセスキーをDM で受信 手動で設定 設定完了 管理者 担当者 5

6. 攻撃者の試行内容 「悪意のある第三者は何をしようとしたのか？」 試行された攻撃 CreateUser - 新規ユーザー作成 CreateRole - 新規ロール作成 AttachUserPolicy

   - ポリシー付与 など 攻撃の狙い 権限昇格による管理者権限奪取 他のAWS サービスへの横展開 攻撃種別 試行された操作 結果 権限昇格 CreateUser, CreateRole 失敗 ポリシー変更 AttachUserPolicy 失敗 6

7. 被害状況の分析 「なぜ深刻な被害を免れたのか？」 調査結果 漏洩経路の特定には至らず 数日おきに3 回漏洩を検知 攻撃者の継続的な試行 ただし、被害は全くなし 被害軽減要因 最小権限の原則を遵守

   CloudSearch 参照権限のみ 全ての権限昇格が失敗 7

8. 最小権限の原則で救われた 「もし管理者権限を付与していたら… 」 現実（最小権限） CloudSearch 参照のみ 権限昇格 → 失敗 被害は軽微

   仮想シナリオ（管理者権限） EC2 インスタンス作成 機密データアクセス 高額請求の発生 他システムへの侵入 教訓: 「面倒だから管理者権限で… 」は命取り 8

9. 提案した改善策 即座の対応 認証情報のローテーション チャットでの認証情報の送付の廃止 運用改善 自動ローテーション機能の実装 Inspector などの脆弱性管理ツールを活 用した脆弱性対策 長期的な対策

   アプリケーションの改善 IAM ロールを使用した一時的な認 証情報の使用 Secret Manger を使用した安全な認 証情報の管理 9

10. まとめ 最小権限の原則は「面倒な制約」ではなく「最後の砦」 1. 権限の棚卸し 現在のIAM ユーザーの権限を確認 「本当に必要な権限だけ」に絞る 2. アクセスキーの運用見直し 90

    日以上使用されているキーをチェック 可能な限りIAM ロールへの移行 10

11. ご清聴ありがとうございました！ このスライド（画像以外）は Claude Code を活用したバイブコーディングにより制作しました 11