Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumik...
Search
SHIFT EVOLVE
PRO
March 01, 2025
Technology
1
290
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumiko Henmi
2025/3/1 JAWS DAYS 2025
https://jawsdays2025.jaws-ug.jp/
株式会社SHIFT
辺見 久美子
SHIFT EVOLVE
PRO
March 01, 2025
Tweet
Share
More Decks by SHIFT EVOLVE
See All by SHIFT EVOLVE
努力家なスクラムマスターが陥る「傍観者」という罠と乗り越えた先に信頼があった話 / 20250830 Takahiro Sasaki
shift_evolve
PRO
2
90
キャリアを支え組織力を高める「多層型ふりかえり」 / 20250821 Kazuki Mori
shift_evolve
PRO
2
310
製造業からパッケージ製品まで幅広く適用!5分でわかる「生成AIを利用したテストシナリオ生成」 / 20250725 Suguru Ishii
shift_evolve
PRO
0
210
教えます!AWSにおけるセキュリティ対策の可視化の方法 やってみた!!AWSにおけるセキュリティ対策の可視化の実践 / 20250423 Hironobu Otaki
shift_evolve
PRO
2
200
SHIFTのDNAとAIの融合:普及から活用へのパラダイムシフト / 20250423 Eiichi Hayashi
shift_evolve
PRO
0
14
サイバー攻撃のシミュレーション:攻撃者の視点からみる防御のむずかしさ!AWSで試してみよう / 20250423 Kumiko Hemmi
shift_evolve
PRO
1
330
Viteの魅力とビルドプロセスに迫る / 20250423 Takuto Nishikiori
shift_evolve
PRO
1
190
開発生産性Conference afterイベント「川口 耕介氏/Kent Beck氏のご紹介」 / 20250707 Hiromitsu Akiba & Ryutaro Yoshiba
shift_evolve
PRO
1
150
fukabori.fm 出張版: 売上高617億円と高稼働率を陰で支えた社内ツール開発のあれこれ話 / 20250704 Yoshimasa Iwase & Tomoo Morikawa
shift_evolve
PRO
4
12k
Other Decks in Technology
See All in Technology
【 LLMエンジニアがヒューマノイド開発に挑んでみた 】 - 第104回 Machine Learning 15minutes! Hybrid
soneo1127
0
140
つくって納得、つかって実感! 大規模言語モデルことはじめ
recruitengineers
PRO
25
7.8k
モバイルアプリ研修
recruitengineers
PRO
4
800
Backboneとしてのtimm2025
yu4u
4
1.7k
実践アプリケーション設計 ③ドメイン駆動設計
recruitengineers
PRO
10
1.6k
トヨタ生産方式(TPS)入門
recruitengineers
PRO
4
780
第4回 関東Kaggler会 [Training LLMs with Limited VRAM]
tascj
12
1.9k
見てわかるテスト駆動開発
recruitengineers
PRO
6
1.4k
Jaws-ug名古屋_LT資料_20250829
azoo2024
3
140
開発と脆弱性と脆弱性診断についての話
su3158
1
1.2k
広島発!スタートアップ開発の裏側
tsankyo
0
260
事業価値と Engineering
recruitengineers
PRO
6
3.5k
Featured
See All Featured
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.9k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
139
34k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.4k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
Automating Front-end Workflow
addyosmani
1370
200k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
185
54k
It's Worth the Effort
3n
187
28k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
110
20k
Designing for humans not robots
tammielis
253
25k
Code Review Best Practice
trishagee
70
19k
What’s in a name? Adding method to the madness
productmarketing
PRO
23
3.6k
Transcript
AWS上にあるWEBサイトの 改ざんリスクを下げることができた 株式会社SHIFT 辺見 久美子 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
自己紹介 株式会社SHIFT 辺見 久美子 元々はアプリケーションエンジニアです。 アプリケーション開発しか知らない私に、 AWSからインフラの楽しさを教えてもらった人間の1人です。 AWSを触るようになり、OSSをEC2上に導入するお仕事を主にしてきました。 お仕事ではSIEMに関わっています。 1年前から趣味でCTFをしています。
CTFの得意分野はWEB/SQLです。 弊社へ そろそろNetflixのようなWEBアプリケーションのインフラ設計をやりたいです。
AWS上にあるWEBサイトの 改ざんリスクを下げることができた !
わたしには 伝えたいこと があります
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
以上
にしたくない、、 せっかく出れたんだから 誰かの心に残りたい!
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。 これ、実はもったいないです! 攻撃者の視点から試してみます!
その前に…
サーバーの乗っ取り方法には大きく分けて、下記の2つがあります。 1.サーバーの管理者権限奪取 SSH,RDPからの侵入のことです。 2.外部と通信を行うファイルのアップロード アウトバンド通信を使って侵入する方法です。 ※WEBサイトの乗っ取りにはさらに方法があります。
WEBサーバー Public subnet VPC AWS Cloud 常時通信 攻撃者のサーバー Tera Term
※【外部と通信を行うコマンド実行】 送信先のIPアドレス+ポート番号を指定します。 今回は2番のファイルのアップロードを使い、外部と通信を発生させる視点から、WEBサイトの乗っ 取りを行うプログラムを使います。 1.サーバーの管理者権限奪取 2.外部と通信を行うファイルのアップロード
動画 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
プログラミングとネットワークがわかると サーバーの乗っ取りのができちゃうんだ、、 なんとか防ぐ方法は、、 NACLとセキュリティグループがあります! 大丈夫!
紹介したプログラムを使い、NACLとセキュリティグループの動作を試してみます。 以下のケースを実行してみました。 ※WEBサイトの通信ポートは「443」です。 No. NACL / 許可 NACL / 拒否
SG / インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません No.1~3の結果がどうなるか予想がつきますか? ※もちろんすべてWEBサイトにはアクセスできます。 インフラエンジニアの方であればおわかりでしたね(´;ω;`) さすがです。
No.1結果 • 内部からの通信は失敗します。 • VPCフローログには、「 REJECT 」というログが残ります。 No. NACL /
許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 1 443 許可以外すべて すべて すべて 内部からの通信を通しません WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー NACLが守ります
WEBサーバー Security Group NACL AWS Cloud アウトバンドを 許可しているので、 Security Group
は守ってくれません でした! 攻撃者のサーバー No.2結果 • 内部からの通信は成功します。 • 情報の外部送信、WEBサイトの改ざんが成功します。 • VPCフローログには、「 REJECT 」というログが残りません。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します
WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー No.3結果 • 内部からの通信は失敗します。
• VPCフローログには、「 REJECT 」というログが残ります。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません Security Group が守ります
結果まとめ No. NACL / 許可 NACL / 拒否 SG /
インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません
OSSの中には、ポート番号指定でアウトバンド通信を行うも のがあります。 そういったポート番号を狙われた場合、セキュリティグルー プでは防げません。
※現実はケースバイケースです。 セキュリティグループに厳しい制限をつけて ネットワークACLも厳しい制限をつけて リスクが軽減されました。
今日の話に興味を持ってくださった方へ 22 ブースにもぜひ お立ち寄りください! 資料の公開やイベント告知は X で配信中! カジュアル面談も受け付け中! https://x.com/shiftevolve_jp
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f 以上
None