Slide 1

Slide 1 text

AWS上にあるWEBサイトの 改ざんリスクを下げることができた 株式会社SHIFT 辺見 久美子 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f

Slide 2

Slide 2 text

自己紹介 株式会社SHIFT 辺見 久美子 元々はアプリケーションエンジニアです。 アプリケーション開発しか知らない私に、 AWSからインフラの楽しさを教えてもらった人間の1人です。 AWSを触るようになり、OSSをEC2上に導入するお仕事を主にしてきました。 お仕事ではSIEMに関わっています。 1年前から趣味でCTFをしています。 CTFの得意分野はWEB/SQLです。 弊社へ そろそろNetflixのようなWEBアプリケーションのインフラ設計をやりたいです。

Slide 3

Slide 3 text

AWS上にあるWEBサイトの 改ざんリスクを下げることができた !

Slide 4

Slide 4 text

わたしには 伝えたいこと があります

Slide 5

Slide 5 text

ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。

Slide 6

Slide 6 text

以上

Slide 7

Slide 7 text

にしたくない、、 せっかく出れたんだから 誰かの心に残りたい!

Slide 8

Slide 8 text

ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。

Slide 9

Slide 9 text

ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。 これ、実はもったいないです! 攻撃者の視点から試してみます!

Slide 10

Slide 10 text

その前に…

Slide 11

Slide 11 text

サーバーの乗っ取り方法には大きく分けて、下記の2つがあります。 1.サーバーの管理者権限奪取 SSH,RDPからの侵入のことです。 2.外部と通信を行うファイルのアップロード アウトバンド通信を使って侵入する方法です。 ※WEBサイトの乗っ取りにはさらに方法があります。

Slide 12

Slide 12 text

WEBサーバー Public subnet VPC AWS Cloud 常時通信 攻撃者のサーバー Tera Term ※【外部と通信を行うコマンド実行】 送信先のIPアドレス+ポート番号を指定します。 今回は2番のファイルのアップロードを使い、外部と通信を発生させる視点から、WEBサイトの乗っ 取りを行うプログラムを使います。 1.サーバーの管理者権限奪取 2.外部と通信を行うファイルのアップロード

Slide 13

Slide 13 text

動画 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f

Slide 14

Slide 14 text

プログラミングとネットワークがわかると サーバーの乗っ取りのができちゃうんだ、、 なんとか防ぐ方法は、、 NACLとセキュリティグループがあります! 大丈夫!

Slide 15

Slide 15 text

紹介したプログラムを使い、NACLとセキュリティグループの動作を試してみます。 以下のケースを実行してみました。 ※WEBサイトの通信ポートは「443」です。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません No.1~3の結果がどうなるか予想がつきますか? ※もちろんすべてWEBサイトにはアクセスできます。 インフラエンジニアの方であればおわかりでしたね(´;ω;`) さすがです。

Slide 16

Slide 16 text

No.1結果 ● 内部からの通信は失敗します。 ● VPCフローログには、「 REJECT 」というログが残ります。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 1 443 許可以外すべて すべて すべて 内部からの通信を通しません WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー NACLが守ります

Slide 17

Slide 17 text

WEBサーバー Security Group NACL AWS Cloud アウトバンドを 許可しているので、 Security Group は守ってくれません でした! 攻撃者のサーバー No.2結果 ● 内部からの通信は成功します。 ● 情報の外部送信、WEBサイトの改ざんが成功します。 ● VPCフローログには、「 REJECT 」というログが残りません。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します

Slide 18

Slide 18 text

WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー No.3結果 ● 内部からの通信は失敗します。 ● VPCフローログには、「 REJECT 」というログが残ります。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません Security Group が守ります

Slide 19

Slide 19 text

結果まとめ No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません

Slide 20

Slide 20 text

OSSの中には、ポート番号指定でアウトバンド通信を行うも のがあります。 そういったポート番号を狙われた場合、セキュリティグルー プでは防げません。

Slide 21

Slide 21 text

※現実はケースバイケースです。 セキュリティグループに厳しい制限をつけて ネットワークACLも厳しい制限をつけて リスクが軽減されました。

Slide 22

Slide 22 text

今日の話に興味を持ってくださった方へ 22 ブースにもぜひ お立ち寄りください! 資料の公開やイベント告知は X で配信中! カジュアル面談も受け付け中! https://x.com/shiftevolve_jp

Slide 23

Slide 23 text

ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。

Slide 24

Slide 24 text

ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f 以上

Slide 25

Slide 25 text

No content