AWS環境におけるランサムウェア攻撃対策の設計 NRIネットコム TECH AND DESIGN STUDY#52 2024年12月18日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 登壇者：大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 450以上あるAWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 本日紹介する内容

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ AWS環境において、何が原因でランサムウェア攻撃を受けるのか ◼ その原因に対して、どのような対策をしていけばいいのか ◼ 本日は予防的コントロール、発見的コントロール、改善までを説明する 本日紹介する内容 予防的 コントロール 発見的 コントロール 改善 インシデント 対応

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ランサムウェアによる被害

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 警察庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告によると、令和4年以降、ラ ンサムウェアによる被害件数は高い水準で推移していることがわかる ランサムウェアによる被害件数 参照元：警察庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ ランサムウェアに感染した場合、全体の約73%が1週間以上の復旧時間を要している ◼ ランサムウェアに感染した場合、全体の約74%が100万円以上の復旧費用を要している ランサムウェアによる被害件数 参照元：警察庁「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ランサムウェア攻撃を受けるパターンと対策

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 対策①：Amazon ECR のイメージスキャン機能を使用した脆弱性の検知 ⚫ 機能概要：コンテナイメージをスキャンして脆弱性を検知する ⚫ 基本スキャンと拡張スキャンの違い 既知の脆弱性を悪用される ランサムウェア攻撃を受けるパターン 基本スキャン 拡張スキャン スキャン範囲 OSパッケージ OSパッケージ プログラミング言語パッケージ スキャンタイミング プッシュ時のスキャン 手動のスキャン プッシュ時のスキャン 継続的なスキャン 検出結果の確認方法 ECRのマネジメントコンソール AWS CLI AWS SDK ECRのマネジメントコンソール AWS CLI AWS SDK Inspectorのマネジメントコンソール Security Hubのマネジメントコンソール 脆弱性評価 CVSSv2 CVSSv2 CVSSv3 脆弱性スキャンプロバイダー Clair Inspector + Snyk

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 対策②：Amazon Inspector v2を使用した脆弱性スキャン ⚫ 機能概要：SSMエージェントがインストールされた全てのマネージドインスタンスをスキャンする ⚫ 機能①：Deep Inspection • 機能概要：プログラミング言語を対象にしたスキャンする機能 • デフォルトでスキャンするパス：/usr/lib、/usr/lib64、/usr/local/lib、/usr/local/lib64 • アカウントごとに最大5つのカスタムパスをスキャンできる • サポートされているプログラミング言語：Java、JavaScript、Python ※Windowsでは利用できない ⚫ 機能②：SBOMのエクスポート • 機能概要：EC2インスタンス内のOSSコンポーネントやパッケージデータを出力する機能 ※Windowsでは利用できない 既知の脆弱性を悪用される ランサムウェア攻撃を受けるパターン

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 対策②：Amazon Inspector v2を使用した脆弱性スキャン ⚫ エージェントベースとエージェントレスの2つのスキャン方法の違い 既知の脆弱性を悪用される ランサムウェア攻撃を受けるパターン エージェントベース エージェントレス スキャン対象 EC2インスタンスと接続されてい るEBSボリューム EBSのスナップショット スキャン実行タイミング 上記に基づいてトリガー 24時間ごとに自動実行 スキャン対象のインスタンス • サポート対象のOSを使用 • スキャン除外タグが付与され ていない • SSMによる管理下にあるイン スタンス • サポート対象のOSを使用 • スキャン除外タグが付与されていな い • ext3、ext4、xfsのファイルシステム形 式を利用している プログラミング言語のパッケー ジスキャン Deep Inspectionを使用 デフォルト

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 対策②：Amazon Inspector v2を使用した脆弱性スキャン ⚫ ハイブリットモード(エージェントベース + エージェントレス)が推奨 • エージェントレスでSSM管理外のボリュームもスキャンできる • エージェントレスモードのみを使用することはできない 既知の脆弱性を悪用される ランサムウェア攻撃を受けるパターン Amazon Inspector Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) エージェントベースモード Amazon Inspector Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) ハイブリットモード

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ ファイアウォール系サービスを最大限活用する ⚫ WAF、DNS Firewall、Network Firewallの違いを理解して、ファイアウォールを最適化しなくてはならない ⚫ 組織内の全てのアカウントにベースラインを展開することは複雑性などの運用負荷が増加してしまう ファイアウォール設定が最適化されていない ランサムウェア攻撃を受けるパターン WAF DNS Firewall Network Firewall スキャン対象 Webアプリケーション (ALB、CloudFront、 API Gatewayなど) DNSリクエスト VPC境界のネットワークトラ フィック 主な用途 • SQLインジェクションや XSSなどのWeb攻撃防 御 • カスタムルールによる特定 パターン検出 悪意のあるドメインへのアクセス 防止 • ステートフルおよびステートレ スなパケットフィルタリング • 複雑なトラフィック制御 ルール管理 • マネージドルールセット • 自作のカスタムルール カスタムの許可・ブロックリスト を作成可能 ステートフルルールセットとステー トレスルールセットを作成

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ AWS Firewall Managerを活用してベースラインを確立する ⚫ AWS Firewall Managerで運用負荷が増加しがちなファイアウォールを一元管理する ファイアウォール設定が最適化されていない ランサムウェア攻撃を受けるパターン AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント メンバーアカウント A AWS Firewall Manager AWS WAF Resolver DNS firewall AWS Network Firewall メンバーアカウント B AWS WAF Resolver DNS firewall AWS Network Firewall メンバーアカウント C AWS WAF Resolver DNS firewall AWS Network Firewall

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ファイアウォール設定が最適化されていない ◼ 遮断対象のIPアドレスを運用担当者が判断して遮断リストを更新する ⚫ 遮断対象のIPアドレス、ドメインのリストは手動で、その後の処理は自動化する ⚫ 遮断対象のIPアドレス、ドメインは人間の目で確認する ランサムウェア攻撃を受けるパターン 運用担当者 Amazon Simple Storage Service (Amazon S3) AWS Lambda 遮断リスト アップロード 成功/失敗 完了連絡 Amazon EventBridge AWS Step Functions workflow Amazon SNS AWS WAF AWS Lambda Resolver DNS firewall AWS Network Firewall

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ パブリックアクセス可能なリソースは極力作成しない ⚫ Amazon EC2、Amazon RDSをパブリック公開しない ⚫ CloudFront VPCオリジン機能の活用を活用すると簡単に対策できる • VPCオリジンを使用することでインターネットからのアクセスをCloudFront経由のみに制限することができる AWSリソースの設定ミス ランサムウェア攻撃を受けるパターン Virtual private cloud (VPC) Amazon EC2 Instance Amazon Relational Database Service (Amazon RDS) Amazon EC2 Instance Amazon Relational Database Service (Amazon RDS) Elastic Load Balancing Internet gateway Amazon CloudFront Private Subnet Private Subnet

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ パブリックアクセス可能なリソースは極力作成しない ⚫ Amazon S3、EBSスナップショット、AMIのブロックパブリックアクセスを有効化 • EBSスナップショット、AMIのブロックパブリックアクセスは、アカウント単位・リージョン単位で有効化していかなくてはならない ⚫ 宣言型ポリシーを活用する • 機能概要：AWS サービスのベースライン構成を定義することができる • 使用例：EBSスナップショットをパブリック公開禁止するポリシーをRootにアタッチすれば、組織内の全てのアカウントでEBS スナップショットのパブリック公開禁止することができる • サポート対象 • シリアルコンソールアクセス • インスタンスメタデータのデフォルトAMI ブロック パブリック アクセス • EBSスナップショット ブロック パブリック アクセス • 許可されているAMI設定 • VPC ブロック パブリック アクセス AWSリソースの設定ミス ランサムウェア攻撃を受けるパターン AWSマネジメントコンソール

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ GuardDutyを使用して不正なアクティビティを監視する アプリケーションの脆弱性 ランサムウェア攻撃を受けるパターン 保護プラン Amazon GuardDuty VPC Flow Logs AWS CloudTrail DNS Query Logs Amazon EC2 Amazon EKS Amazon ECS Amazon RDS AWS Lambda Amazon S3 Amazon EBS AWS Cloud

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの脆弱性 ◼ Amazon GuardDuty Malware Protection for EC2 ⚫ 機能概要：EBSボリュームに対してマルウェアスキャンを実行する ⚫ AWS管理側のアカウントにスナップショットが作成されてスキャンされるため、既存環境への影響はない ⚫ 実行タイミング：潜在的にマルウェアに感染した可能性のあるアクティビティの検知、24時間間隔で自動スキャン ※前回のスキャンから24時間未満であれば、新たな検出があったとしてもスキャンされない ⚫ 暗号化されていているかどうかにかかわらずスキャン可能 ※デフォルトのKMSキーで暗号化されたボリュームはスキャンできない ランサムウェア攻撃を受けるパターン Amazon GuardDuty 利用者側アカウント Amazon EC2 AWS側管理：GuardDutyサービスアカウント Amazon EBS EBS Snapshot EBS Snapshot Amazon EBS 検知 スナップショットの作成と共有 スキャン スキャン結果を反映する

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの脆弱性 ◼ Amazon GuardDuty Malware Protection for S3 ⚫ 機能概要：S3バケットのパスを指定して、S3バケット内のファイルにマルウェアスキャンを実行する ⚫ 機能制限： • 指定できるパスは最大5個までの制限がある • ワイルドカードを使用したパスパターンを設定できない ⚫ Security Hubに統合されていない ランサムウェア攻撃を受けるパターン Amazon GuardDuty Amazon Simple Storage Service (Amazon S3) （マルウェアスキャン用） Amazon EventBridge AWS Lambda （マルウェアファイルを隔離・削除） Amazon Simple Storage Service (Amazon S3) （マルウェアファイル隔離用） マルウェアファイルの削除 ・ 隔離 AWS Security Hub AWS Lambda （検出結果をインポート） 検出結果をSecurity Hubにインポート

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの脆弱性 ◼ Amazon GuardDuty Runtime Monitoring ⚫ 機能概要：OSレベルのイベントを監視および分析して、脅威を検出する ⚫ 前提条件：GuardDuty セキュリティエージェントとVPCエンドポイントの作成が必要 ランサムウェア攻撃を受けるパターン アカウント Amazon GuardDuty Amazon EC2 Amazon EKS Amazon ECS Virtual private cloud (VPC) Private subnet VPC Flow Logs AWS CloudTrail DNS Query Logs

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーションの脆弱性 ◼ Amazon GuardDuty Runtime Monitoringの導入方法 ⚫ 手動エージェント設定を採用した場合 • 手動でエージェントをデプロイしてVPCエンドポイントを作成する必要がある • 手動でデプロイされたエージェントの管理タイプは「手動」になる ⚫ 自動エージェント設定・手動エージェント設定(包含タグ)を採用した場合 • EC2、EKS、ECS(Fargate)にGuardDutyのエージェントが自動でデプロイされ、VPCエンドポイントの作成も自動で行われる • 包含タグを使用した手動エージェント設定は包含タグ(GuardDutyManaged：true)のタグを設定すると、 GuardDuty のエージェントが自動でデプロイされ、VPCエンドポイントの作成も自動で行われる • 除外タグ(GuardDutyManaged : false)を付与することで、自動でエージェントがデプロイされることを防げる • デプロイされたエージェントの管理タイプは「自動」になる • IAMロールにSSMの権限( AmazonSSMManagedInstanceCore )が必要 ⚫ エージェントのデプロイ、VPCエンドポイントが作成された後に除外タグを付与した場合の挙動 • 既にエージェントのデプロイが行われた後、除外タグを付与してもエージェントとVPCエンドポイントは削除されない • EC2 • 除外タグを付与した後にセキュリティエージェントは削除されず、ランタイムモニタリングは動作し続ける • EKS • 除外タグを付与した後にセキュリティエージェントは削除されず、ランタイムモニタリングは動作し続ける • ECS(Fargate) • 除外タグを付与した後にセキュリティエージェントは削除されず、ランタイムモニタリングは動作し続ける • 除外タグを付与した後に当該クラスターでサービスの更新およびタスクの再起動を実行すると、新規のタスクには GuardDuty のサイド カーコンテナが自動的に作成されない ➢ GuardDutyのエージェントの管理タイプが「手動」になる ランサムウェア攻撃を受けるパターン

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ ランサムウェア攻撃に関連する認証情報の漏洩対策 ⚫ 認証情報の漏洩は、人的ミスや意図しない行動が原因となることが多く、内部脅威や攻撃リスクを増大させる ◼ 効果的な対策 ⚫ ガイドライン • AWSサービスの推奨設定を明記する ⚫ セキュリティトレーニング • 社員への定期的なセキュリティ意識向上トレーニングを実施し、内部脅威の発生リスクを低減する ⚫ 従業員管理の見直し • 退職者のアクセス権限を即時に見直し、未削除の認証情報が存在しないことを確認する 人為的な認証情報の漏洩 ランサムウェア攻撃を受けるパターン

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します まとめ

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ アプリケーションの脆弱性への対策や統制を効かせることでランサムウェア攻撃への対策になる ◼ 技術的な対策をしてもランサムウェア攻撃を100%防げるわけではない ◼ 人為的なミスでランサムウェア攻撃を受ける可能性がある ◼ 技術的な対策だけでなく、セキュリティトレーニングなどの従業員のミスを防ぐための対策必要 まとめ 「技術的なリスク対策」と「ヒューマンリスク対策」が不可欠

No content