AWSにおけるサイバー攻撃の傾向と具体的な対策

Slide 1

Slide 1 text

AWSにおけるサイバー攻撃の傾向と具体的な対策 2025年3月18日 NRIネットコム株式会社デジタルソリューション事業本部クラウド事業推進部大林優斗

Slide 2

Slide 2 text

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 登壇者：大林優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 500以上のAWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介

Slide 3

Slide 3 text

Slide 4

Slide 4 text

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します攻撃にどう向き合うかサイバー攻撃の傾向 ◼ パブリッククラウドの利用増加に伴い、情報漏洩などのインシデントが増加傾向にある。 ◼ サイバー攻撃は完全に防げないことを前提に対策をしていく必要がある。 ◼ サイバー攻撃の例を挙げて、被害を最小限に抑えるための対策、起きた時の対策を考える。順位情報セキュリティ10大脅威 1 ランサムウェアによる被害（前年1位） 2 サプライチェーンの弱点を悪用した攻撃（前年2位） 3 内部不正による情報漏えい等の被害（前年4位） 4 標的型攻撃による機密情報の窃取（前年3位） 5 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（前年6位） 6 不注意による情報漏えい等の被害（前年9位） 7 脆弱性対策情報の公開に伴う悪用増加（前年8位） 8 ビジネスメール詐欺による金銭被害（前年7位） 9 テレワーク等のニューノーマルな働き方を狙った攻撃（前年5位） 10 犯罪のビジネス化（アンダーグラウンドサービス）（前年10位） ※IPA「情報セキュリティ10大脅威 2024 ：組織編」を元に作成 https://www.ipa.go.jp/security/10threats/10threats2024.html

Slide 5

Slide 5 text

Slide 6

Slide 6 text

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon EC2 認証情報の漏洩不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃 ⚫ Web アプリケーションの脆弱性を利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法 Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント 169.254.169.254 攻撃者 http://www.test.com/test.php?site=169.254.169.254/latest/ meta-data/iam/security-credentials/

Slide 7

Slide 7 text

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon EC2 認証情報の漏洩不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃 ⚫ Web アプリケーションの脆弱性を利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法攻撃者 test-XX-role Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント 169.254.169.254

Slide 8

Slide 8 text

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon EC2 認証情報の漏洩不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃 ⚫ Web アプリケーションの脆弱性を利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法 Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント攻撃者 http://www.test.com/test.php?site=169.254.169.254/latest/ meta-data/iam/security-credentials/test-XX-role

Slide 9

Slide 9 text

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon EC2 認証情報の漏洩不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃 ⚫ Web アプリケーションの脆弱性を利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法 Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント攻撃者 { "Code": "Success", "LastUpdated": "20XX-XX-XXT12:34:56Z", "Type": "AWS-HMAC", "AccessKeyId": “XXXXXXXXXX", "SecretAccessKey": " XXXXXXXXXXXXXXXXXXXX ", "Token": " XXXXXXXXXXXXXXXXXXXX ", "Expiration": "20XX-XX-XXT18:34:56Z" }

Slide 10

Slide 10 text

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon EC2 認証情報の漏洩不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策①：IMDSv2への移行 ⚫ IMDSv2ではすべてのリクエストに対して事前に取得したセッショントークンが必要 ➢ SSRF攻撃だけではメタデータにアクセスしにくい ➢ 既存環境への影響は最優先で考える AWSマネジメントコンソール

Slide 11

Slide 11 text

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon EC2 認証情報の漏洩不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策①：IMDSv2への移行 ⚫ 宣言型ポリシーで組織全体でIMDSv2強制する Root OU System-AA OU アカウント_01 アカウント_02 マネジメントアカウント Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) System-BB OU アカウント_03 アカウント_04 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

Slide 12

Slide 12 text

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon EC2 認証情報の漏洩不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策②：WAFの設定を最適化する ⚫ IMDSv2に移行しただけでは、Gopherプロトコルを利用したリクエストを細かく制御したSSRF攻撃を防げない ➢ アプリケーションに脆弱性がある場合や誤設定がある場合に限る ➢ WAFで「http://169.254.169.254/」が含まれているリクエストをブロックする設定を加えることが重要 ➢ カスタムルールでQuery stringを設定する方法 ➢ マネージドルール(AWSManagedRulesCommonRuleSet)で設定する方法

Slide 13

Slide 13 text

Slide 14

Slide 14 text

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します基本的なWebアプリケーション基盤の構成例脆弱性対策情報の公開に伴う悪用への対策 Virtual private cloud (VPC) AWS Cloud Public subnet Private subnet NAT gateway Amazon CloudFront Amazon S3 Private subnet Amazon Aurora Public subnet Private subnet Private subnet Amazon Aurora Application Load Balancer Amazon EFS AWS Systems Manager Session Manager

Slide 15

Slide 15 text

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止しますコンピューティングリソースの脆弱性対策脆弱性対策情報の公開に伴う悪用への対策 ◼ イメージの脆弱性対策 ⚫ ECSで使用するコンテナイメージには、古いパッケージやライブラリの脆弱性が含まれている可能性がある ➢ Amazon ECRのイメージスキャン機能を有効化し、定期的に脆弱性チェックを実施する必要がある ⚫ Inspectorによるスキャンはパイプラインにも組み込むことができる • CodePipelineによるスキャンアクションで選択できる Amazon Inspector Amazon Elastic Container Registry (Amazon ECR) Image 開発者

Slide 16

Slide 16 text

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止しますコンピューティングリソースの脆弱性対策脆弱性対策情報の公開に伴う悪用への対策 ◼ イメージの脆弱性対策 ⚫ 拡張スキャン：ECR + Inspector ⚫ 拡張スキャンを選択することで幅広い範囲をスキャンしてくれる ➢ コスト増加を受容するのであれば、拡張スキャンがおすすめ基本スキャン拡張スキャンスキャン範囲 OSパッケージ OSパッケージプログラミング言語パッケージスキャンタイミングプッシュ時のスキャン手動のスキャンプッシュ時のスキャン継続的なスキャン検出結果の確認方法 ECRのマネジメントコンソール AWS CLI AWS SDK ECRのマネジメントコンソール AWS CLI AWS SDK Inspectorのマネジメントコンソール Security Hubのマネジメントコンソール脆弱性評価 CVSSv2 CVSSv2 CVSSv3 脆弱性スキャンプロバイダー Clair Inspector + Snyk

Slide 17

Slide 17 text

Slide 18

Slide 18 text

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します組織設計について攻撃による被害を最小限に抑えるために ◼ 単一アカウントでシステムを管理することの問題点 ⚫ 複数環境のAWSリソースが単一アカウントにあることでリソースの追跡性が損なわれる ⚫ 誤ったリソースの操作が発生する可能性がある ⚫ クォータの制限に引っ掛かりやすくなる ⚫ 攻撃の影響が広がりやすい AWS account Virtual private cloud (VPC) 開発環境 Virtual private cloud (VPC) 検証環境 Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

Slide 19

Slide 19 text

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します組織設計について攻撃による被害を最小限に抑えるために ◼ マルチアカウントでシステムを管理することの重要性 ⚫ リソースの追跡性が容易になる ⚫ 誤ったリソースの操作が発生する可能性を抑えられる ⚫ クォータの制限に引っ掛かりにくい ⚫ 攻撃の影響を制限しやすい ⚫ コスト配分の容易性を強化する AWS account Virtual private cloud (VPC) 開発環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 検証環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2)

Slide 20

Slide 20 text

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します組織設計について攻撃による被害を最小限に抑えるために ◼ マルチアカウントをどのように管理していくのか ⚫ AWS Organizationsを活用してOUごとに部署、システム単位で管理していく必要がある ⚫ Control Towerを導入することでより統制を強化しやすくなる ➢ メンバーアカウントに大きな影響が出るような統制を効かせてはいけない System A OU Account Account Account System B OU Account Account Account System C OU Account Account Account Management account

Slide 21

Slide 21 text

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止しますケースごとに考える組織外からのアクセス制御攻撃による被害を最小限に抑えるために ◼ RCP：IAMにおける組織外からのアクセス制御 ⚫ 意図しない組織外からのスイッチロールを防ぐ ⚫ 単に導入すればいいのではなく、意図した組織外からのスイッチロールに影響を与えることを考慮する ➢ ポリシーで適用範囲を制限する ➢ 適用するOU、アカウントを慎重に精査する ➢ ポリシーで特定のIAMロール、アカウントからのアクセスのみ許可する設定する Organizational unit AWS Organizations Organizational unit Account RCP Role Account Role Role (External Organizations)

Slide 22

Slide 22 text

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止しますケースごとに考える組織外からのアクセス制御攻撃による被害を最小限に抑えるために ◼ RCP：S3における組織外からのアクセス制御 ⚫ SSE-Cで暗号化されたオブジェクトが上書きされ、再暗号化される攻撃が増えている ➢ SSE-Cを使っていなくても、今後使用可能性があることを考えて予防的に適用しておく Organizational unit AWS Organizations Organizational unit Account RCP Account Role Role (External Organizations) Amazon Simple Storage Service (Amazon S3)

Slide 23

Slide 23 text

Slide 24

Slide 24 text

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します攻撃に気づくために攻撃された後のレスポンスを考える ◼ 理想の運用を実現するためにセキュリティ通知方法を選定する ⚫ メール通知：Slackで障害起きても通知を受信できるようにするため ⚫ Slack通知：セキュリティ通知のスレッドに返信する形で検知への改善方法を議論できる ⚫ Backlog通知：チケット化してセキュリティ検知に対応できる ➢「なぜ、その通知方法を選んだのか」が重要になる AWS Lambda Amazon Bedrock AWS Security Hub メール通知 Slack通知 Backlog通知 Amazon EventBridge

Slide 25

Slide 25 text

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します攻撃の影響範囲を調査する攻撃された後のレスポンスを考える ◼ Amazon Detectiveで攻撃の影響範囲を調査する ⚫ CloudTrail、VPCフローログなどをもと調査が可能になる ➢ ホストレベルのログはDetectiveのデータソースとならないので、別の手段で調査できるようにしておく Security OU Management account Audit Amazon Detective System OU Member 01 Amazon Detective Member 02 Amazon Detective

Slide 26

Slide 26 text

25 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します攻撃の影響範囲を調査する攻撃された後のレスポンスを考える ◼ ホストレベルのログをいつでも調査できるようにしておく ⚫ Amazon Athenaでクエリのみでもよいが、Amazon QuickSightを使用するとログのグラフ化による定期的なセキュリティ分析にも活用することができる ⚫ セキュリティインシデント時もグラフ化によって影響調査をサポートしてくれる AWS account Virtual private cloud (VPC) Amazon Elastic Compute Cloud (Amazon EC2) Amazon CloudWatch Logs Amazon Data Firehose Amazon Simple Storage Service (Amazon S3) Amazon Athena Amazon QuickSight

Slide 27

Slide 27 text

Slide 28

Slide 28 text

27 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ セキュリティ対策を考えるうえで、どんな攻撃が増えているのか知る必要がある ◼ 脆弱性のスキャンは必ず実行すべき ◼ 攻撃の影響範囲を最小限に抑えるために環境の分離、アクセス制御が必要になる ◼ インシデントが発生した際には調査に使用するデータソースが重要になる ⚫ どのサービスがどのデータをもとに検知をしているのか ⚫ 準備しているコストの範囲で徹底的な分析をすべきまとめ

Slide 29

Slide 29 text

No content