Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumik...
Search
SHIFT EVOLVE
PRO
March 01, 2025
Technology
1
540
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumiko Henmi
2025/3/1 JAWS DAYS 2025
https://jawsdays2025.jaws-ug.jp/
株式会社SHIFT
辺見 久美子
SHIFT EVOLVE
PRO
March 01, 2025
Tweet
Share
More Decks by SHIFT EVOLVE
See All by SHIFT EVOLVE
茨城の思い出を振り返る ~CDKのセキュリティを添えて~ / 20260201 Mitsutoshi Matsuo
shift_evolve
PRO
1
300
初めてのJAWSボランティア活動目録 ~JAWS DAYS 2025~ / 20260131 Mitsutoshi Matsuo
shift_evolve
PRO
0
84
長期実行 AI エージェントの最新の実装標準を知ろう! / 20260128 Ikuma Yamashita
shift_evolve
PRO
1
70
ファシリテーション勉強中 その場に何が求められるかを考えるようになるまで / 20260123 Naoki Takahashi
shift_evolve
PRO
3
670
AWSネイティブサービス&AIサービスで自社で内製化するAWSセキュリティのPDCAサイクル / 20260117 Hironobu Otaki
shift_evolve
PRO
1
110
1万人を変え日本を変える!!多層構造型ふりかえりの大規模組織変革 / 20260108 Kazuki Mori
shift_evolve
PRO
7
2.1k
あの夜、私たちは「人間」に戻った。 ── 災害ユートピア、贈与、そしてアジャイルの再構築 / 20260108 Hiromitsu Akiba
shift_evolve
PRO
0
1.1k
Cloud WAN MCP Serverから考える新しいネットワーク運用 / 20251228 Masaki Okuda
shift_evolve
PRO
0
170
AWSネイティブサービス&AIサービスで自社で内製化するAWSセキュリティのPDCAサイクル / 20251219 Hironobu Otaki
shift_evolve
PRO
1
79
Other Decks in Technology
See All in Technology
15 years with Rails and DDD (AI Edition)
andrzejkrzywda
0
190
OCI Database Management サービス詳細
oracle4engineer
PRO
1
7.4k
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.6k
usermode linux without MMU - fosdem2026 kernel devroom
thehajime
0
230
Bedrock PolicyでAmazon Bedrock Guardrails利用を強制してみた
yuu551
0
240
モダンUIでフルサーバーレスなAIエージェントをAmplifyとCDKでサクッとデプロイしよう
minorun365
4
210
コミュニティが変えるキャリアの地平線:コロナ禍新卒入社のエンジニアがAWSコミュニティで見つけた成長の羅針盤
kentosuzuki
0
110
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
zepprix
0
450
Introduction to Bill One Development Engineer
sansan33
PRO
0
360
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
daitak
1
360
FinTech SREのAWSサービス活用/Leveraging AWS Services in FinTech SRE
maaaato
0
130
制約が導く迷わない設計 〜 信頼性と運用性を両立するマイナンバー管理システムの実践 〜
bwkw
3
940
Featured
See All Featured
Docker and Python
trallard
47
3.7k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
120
YesSQL, Process and Tooling at Scale
rocio
174
15k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
67
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
0
210
What Being in a Rock Band Can Teach Us About Real World SEO
427marketing
0
170
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
133
19k
Writing Fast Ruby
sferik
630
62k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
100
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.4k
Side Projects
sachag
455
43k
Scaling GitHub
holman
464
140k
Transcript
AWS上にあるWEBサイトの 改ざんリスクを下げることができた 株式会社SHIFT 辺見 久美子 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
自己紹介 株式会社SHIFT 辺見 久美子 元々はアプリケーションエンジニアです。 アプリケーション開発しか知らない私に、 AWSからインフラの楽しさを教えてもらった人間の1人です。 AWSを触るようになり、OSSをEC2上に導入するお仕事を主にしてきました。 お仕事ではSIEMに関わっています。 1年前から趣味でCTFをしています。
CTFの得意分野はWEB/SQLです。 弊社へ そろそろNetflixのようなWEBアプリケーションのインフラ設計をやりたいです。
AWS上にあるWEBサイトの 改ざんリスクを下げることができた !
わたしには 伝えたいこと があります
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
以上
にしたくない、、 せっかく出れたんだから 誰かの心に残りたい!
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。 これ、実はもったいないです! 攻撃者の視点から試してみます!
その前に…
サーバーの乗っ取り方法には大きく分けて、下記の2つがあります。 1.サーバーの管理者権限奪取 SSH,RDPからの侵入のことです。 2.外部と通信を行うファイルのアップロード アウトバンド通信を使って侵入する方法です。 ※WEBサイトの乗っ取りにはさらに方法があります。
WEBサーバー Public subnet VPC AWS Cloud 常時通信 攻撃者のサーバー Tera Term
※【外部と通信を行うコマンド実行】 送信先のIPアドレス+ポート番号を指定します。 今回は2番のファイルのアップロードを使い、外部と通信を発生させる視点から、WEBサイトの乗っ 取りを行うプログラムを使います。 1.サーバーの管理者権限奪取 2.外部と通信を行うファイルのアップロード
動画 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
プログラミングとネットワークがわかると サーバーの乗っ取りのができちゃうんだ、、 なんとか防ぐ方法は、、 NACLとセキュリティグループがあります! 大丈夫!
紹介したプログラムを使い、NACLとセキュリティグループの動作を試してみます。 以下のケースを実行してみました。 ※WEBサイトの通信ポートは「443」です。 No. NACL / 許可 NACL / 拒否
SG / インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません No.1~3の結果がどうなるか予想がつきますか? ※もちろんすべてWEBサイトにはアクセスできます。 インフラエンジニアの方であればおわかりでしたね(´;ω;`) さすがです。
No.1結果 • 内部からの通信は失敗します。 • VPCフローログには、「 REJECT 」というログが残ります。 No. NACL /
許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 1 443 許可以外すべて すべて すべて 内部からの通信を通しません WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー NACLが守ります
WEBサーバー Security Group NACL AWS Cloud アウトバンドを 許可しているので、 Security Group
は守ってくれません でした! 攻撃者のサーバー No.2結果 • 内部からの通信は成功します。 • 情報の外部送信、WEBサイトの改ざんが成功します。 • VPCフローログには、「 REJECT 」というログが残りません。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します
WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー No.3結果 • 内部からの通信は失敗します。
• VPCフローログには、「 REJECT 」というログが残ります。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません Security Group が守ります
結果まとめ No. NACL / 許可 NACL / 拒否 SG /
インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません
OSSの中には、ポート番号指定でアウトバンド通信を行うも のがあります。 そういったポート番号を狙われた場合、セキュリティグルー プでは防げません。
※現実はケースバイケースです。 セキュリティグループに厳しい制限をつけて ネットワークACLも厳しい制限をつけて リスクが軽減されました。
今日の話に興味を持ってくださった方へ 22 ブースにもぜひ お立ち寄りください! 資料の公開やイベント告知は X で配信中! カジュアル面談も受け付け中! https://x.com/shiftevolve_jp
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f 以上
None
shift_evolve
andrzejkrzywda
oracle4engineer
thehajime
yuu551
minorun365
kentosuzuki
zepprix
sansan33
daitak
maaaato
bwkw
trallard
jacobtomlinson
rocio
davidcarrasco
ks91
427marketing
morganepeng
sferik
cargoodrich
rmw
sachag
holman
