Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumik...
Search
SHIFT EVOLVE
PRO
March 01, 2025
Technology
1
440
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumiko Henmi
2025/3/1 JAWS DAYS 2025
https://jawsdays2025.jaws-ug.jp/
株式会社SHIFT
辺見 久美子
SHIFT EVOLVE
PRO
March 01, 2025
Tweet
Share
More Decks by SHIFT EVOLVE
See All by SHIFT EVOLVE
2025年 開発生産「可能」性向上報告 サイロ解消からチームが能動性を獲得するまで/ 20251216 Naoki Takahashi
shift_evolve
PRO
1
180
AI駆動開発における設計思想 認知負荷を下げるフロントエンドアーキテクチャ/ 20251211 Teppei Hanai
shift_evolve
PRO
2
400
年間40件以上の登壇を続けて見えた「本当の発信力」/ 20251213 Masaki Okuda
shift_evolve
PRO
1
130
組織と現場がつながる“協働”アジャイル ── 双方が納得する、現実的なプロジェクト推進の秘訣/ 20251210 Takeshi Watarai
shift_evolve
PRO
1
19
スクラムの適応の可能性 AI駆動開発にオーナーシップを持つ / 20251210 Naoki Takahashi
shift_evolve
PRO
4
310
Cloud WANコアネットワークを最適化する旅~自作ジェネレータを添えて~ / 20251208 Masaki Okuda
shift_evolve
PRO
2
62
Karate+Database RiderによるAPI自動テスト導入工数をCline+GitLab MCPを使って2割削減を目指す! / 20251206 Kazuki Takahashi
shift_evolve
PRO
1
770
AIが浮き彫りにしたわたしの武器 -コンプレックスを超えて切り拓く、エンジニアの生存戦略 / 20251206 Takafumi Kumagai
shift_evolve
PRO
1
51
PyInstallerを使ったテスト自動化環境導入支援とツール活用 / 20251206 Kaname Ohtsuki
shift_evolve
PRO
2
40
Other Decks in Technology
See All in Technology
プロンプトやエージェントを自動的に作る方法
shibuiwilliam
11
9.3k
業務のトイルをバスターせよ 〜AI時代の生存戦略〜
staka121
PRO
2
200
Reinforcement Fine-tuning 基礎〜実践まで
ch6noota
0
190
MLflowダイエット大作戦
lycorptech_jp
PRO
1
140
re:Inventで気になったサービスを10分でいけるところまでお話しします
yama3133
1
120
AWSセキュリティアップデートとAWSを育てる話
cmusudakeisuke
0
280
非CUDAの悲哀 〜Claude Code と挑んだ image to 3D “Hunyuan3D”を EVO-X2(Ryzen AI Max+395)で動作させるチャレンジ〜
hawkymisc
2
190
Edge AI Performance on Zephyr Pico vs. Pico 2
iotengineer22
0
160
Gemini でコードレビュー知見を見える化
zozotech
PRO
1
260
Databricks向けJupyter Kernelでデータサイエンティストの開発環境をAI-Readyにする / Data+AI World Tour Tokyo After Party
genda
1
130
今年のデータ・ML系アップデートと気になるアプデのご紹介
nayuts
1
420
Haskell を武器にして挑む競技プログラミング ─ 操作的思考から意味モデル思考へ
naoya
6
1.5k
Featured
See All Featured
Building Applications with DynamoDB
mza
96
6.8k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.3k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.7k
Fireside Chat
paigeccino
41
3.7k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.3k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.6k
Documentation Writing (for coders)
carmenintech
76
5.2k
Mobile First: as difficult as doing things right
swwweet
225
10k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
970
For a Future-Friendly Web
brad_frost
180
10k
How GitHub (no longer) Works
holman
316
140k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Transcript
AWS上にあるWEBサイトの 改ざんリスクを下げることができた 株式会社SHIFT 辺見 久美子 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
自己紹介 株式会社SHIFT 辺見 久美子 元々はアプリケーションエンジニアです。 アプリケーション開発しか知らない私に、 AWSからインフラの楽しさを教えてもらった人間の1人です。 AWSを触るようになり、OSSをEC2上に導入するお仕事を主にしてきました。 お仕事ではSIEMに関わっています。 1年前から趣味でCTFをしています。
CTFの得意分野はWEB/SQLです。 弊社へ そろそろNetflixのようなWEBアプリケーションのインフラ設計をやりたいです。
AWS上にあるWEBサイトの 改ざんリスクを下げることができた !
わたしには 伝えたいこと があります
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
以上
にしたくない、、 せっかく出れたんだから 誰かの心に残りたい!
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。 これ、実はもったいないです! 攻撃者の視点から試してみます!
その前に…
サーバーの乗っ取り方法には大きく分けて、下記の2つがあります。 1.サーバーの管理者権限奪取 SSH,RDPからの侵入のことです。 2.外部と通信を行うファイルのアップロード アウトバンド通信を使って侵入する方法です。 ※WEBサイトの乗っ取りにはさらに方法があります。
WEBサーバー Public subnet VPC AWS Cloud 常時通信 攻撃者のサーバー Tera Term
※【外部と通信を行うコマンド実行】 送信先のIPアドレス+ポート番号を指定します。 今回は2番のファイルのアップロードを使い、外部と通信を発生させる視点から、WEBサイトの乗っ 取りを行うプログラムを使います。 1.サーバーの管理者権限奪取 2.外部と通信を行うファイルのアップロード
動画 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
プログラミングとネットワークがわかると サーバーの乗っ取りのができちゃうんだ、、 なんとか防ぐ方法は、、 NACLとセキュリティグループがあります! 大丈夫!
紹介したプログラムを使い、NACLとセキュリティグループの動作を試してみます。 以下のケースを実行してみました。 ※WEBサイトの通信ポートは「443」です。 No. NACL / 許可 NACL / 拒否
SG / インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません No.1~3の結果がどうなるか予想がつきますか? ※もちろんすべてWEBサイトにはアクセスできます。 インフラエンジニアの方であればおわかりでしたね(´;ω;`) さすがです。
No.1結果 • 内部からの通信は失敗します。 • VPCフローログには、「 REJECT 」というログが残ります。 No. NACL /
許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 1 443 許可以外すべて すべて すべて 内部からの通信を通しません WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー NACLが守ります
WEBサーバー Security Group NACL AWS Cloud アウトバンドを 許可しているので、 Security Group
は守ってくれません でした! 攻撃者のサーバー No.2結果 • 内部からの通信は成功します。 • 情報の外部送信、WEBサイトの改ざんが成功します。 • VPCフローログには、「 REJECT 」というログが残りません。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します
WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー No.3結果 • 内部からの通信は失敗します。
• VPCフローログには、「 REJECT 」というログが残ります。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません Security Group が守ります
結果まとめ No. NACL / 許可 NACL / 拒否 SG /
インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません
OSSの中には、ポート番号指定でアウトバンド通信を行うも のがあります。 そういったポート番号を狙われた場合、セキュリティグルー プでは防げません。
※現実はケースバイケースです。 セキュリティグループに厳しい制限をつけて ネットワークACLも厳しい制限をつけて リスクが軽減されました。
今日の話に興味を持ってくださった方へ 22 ブースにもぜひ お立ち寄りください! 資料の公開やイベント告知は X で配信中! カジュアル面談も受け付け中! https://x.com/shiftevolve_jp
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f 以上
None
shift_evolve
shibuiwilliam
staka121
ch6noota
lycorptech_jp
yama3133
cmusudakeisuke
hawkymisc
iotengineer22
zozotech
genda
nayuts
naoya
mza
tammyeverts
bluesmoon
paigeccino
rmw
marktimemedia
carmenintech
swwweet
brad_frost
holman
marcelosomers
