Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumik...
Search
SHIFT EVOLVE
PRO
March 01, 2025
Technology
1
170
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumiko Henmi
2025/3/1 JAWS DAYS 2025
https://jawsdays2025.jaws-ug.jp/
株式会社SHIFT
辺見 久美子
SHIFT EVOLVE
PRO
March 01, 2025
Tweet
Share
More Decks by SHIFT EVOLVE
See All by SHIFT EVOLVE
製造業からパッケージ製品まで、あらゆる領域をカバー!生成AIを利用したテストシナリオ生成 / 20250627 Suguru Ishii
shift_evolve
PRO
1
130
CloudBruteによる外部からのS3バケットの探索・公開の発見について / 20250605 Kumiko Henmi
shift_evolve
PRO
3
480
やってみよう!生成AIを使用して実際の不具合情報から、汎用的なテスト観点を育てツールで管理する! / 20250530 Suguru Ishii
shift_evolve
PRO
0
160
AWS LambdaでSocket通信サーバーレスアプリケーションのリアルタイム通信 / 20250523 Kumiko Hennmi
shift_evolve
PRO
1
410
6ヶ月でカットオーバー!ファンクション型 BtoB SaaS で実装したインフラレイヤーのセキュリティ / 20250523 Satoshi Torano
shift_evolve
PRO
0
110
生成AI時代における人間の情熱とプロダクト志向 / 20250517 Takuya Oikawa
shift_evolve
PRO
2
1.1k
幸せに働ける組織を目指すリーダーの葛藤と挑戦 / 20250517 Tadahiro Yasuda & Rinto Ikenoue
shift_evolve
PRO
1
700
Kent Beckの思想と学びの道筋 / 20250517 Ryutaro Yoshiba & Hiromitsu Akiba
shift_evolve
PRO
1
900
若手中心の内製アジャイル開発で研究開発に挑戦 / 20250517 Nobuhiro Kawamura & Dami Lee & Tomohiko Tanikawa
shift_evolve
PRO
1
670
Other Decks in Technology
See All in Technology
OpenHands🤲にContributeしてみた
kotauchisunsun
1
400
Wasm元年
askua
0
130
Observability в PHP без боли. Олег Мифле, тимлид Altenar
lamodatech
0
330
エンジニア向け技術スタック情報
kauche
1
230
mrubyと micro-ROSが繋ぐロボットの世界
kishima
2
120
Agentic DevOps時代の生存戦略
kkamegawa
1
1.3k
Amazon S3標準/ S3 Tables/S3 Express One Zoneを使ったログ分析
shigeruoda
3
450
本当に使える?AutoUpgrade の新機能を実践検証してみた
oracle4engineer
PRO
1
140
Snowflake Summit 2025 データエンジニアリング関連新機能紹介 / Snowflake Summit 2025 What's New about Data Engineering
tiltmax3
0
300
Navigation3でViewModelにデータを渡す方法
mikanichinose
0
220
地図も、未来も、オープンに。 〜OSGeo.JPとFOSS4Gのご紹介〜
wata909
0
100
SalesforceArchitectGroupOsaka#20_CNX'25_Report
atomica7sei
0
140
Featured
See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.7k
Why Our Code Smells
bkeepers
PRO
337
57k
How to Think Like a Performance Engineer
csswizardry
24
1.7k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
20
1.3k
Typedesign – Prime Four
hannesfritz
42
2.7k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.3k
Thoughts on Productivity
jonyablonski
69
4.7k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
10
930
Unsuck your backbone
ammeep
671
58k
Site-Speed That Sticks
csswizardry
10
660
Transcript
AWS上にあるWEBサイトの 改ざんリスクを下げることができた 株式会社SHIFT 辺見 久美子 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
自己紹介 株式会社SHIFT 辺見 久美子 元々はアプリケーションエンジニアです。 アプリケーション開発しか知らない私に、 AWSからインフラの楽しさを教えてもらった人間の1人です。 AWSを触るようになり、OSSをEC2上に導入するお仕事を主にしてきました。 お仕事ではSIEMに関わっています。 1年前から趣味でCTFをしています。
CTFの得意分野はWEB/SQLです。 弊社へ そろそろNetflixのようなWEBアプリケーションのインフラ設計をやりたいです。
AWS上にあるWEBサイトの 改ざんリスクを下げることができた !
わたしには 伝えたいこと があります
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
以上
にしたくない、、 せっかく出れたんだから 誰かの心に残りたい!
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。 これ、実はもったいないです! 攻撃者の視点から試してみます!
その前に…
サーバーの乗っ取り方法には大きく分けて、下記の2つがあります。 1.サーバーの管理者権限奪取 SSH,RDPからの侵入のことです。 2.外部と通信を行うファイルのアップロード アウトバンド通信を使って侵入する方法です。 ※WEBサイトの乗っ取りにはさらに方法があります。
WEBサーバー Public subnet VPC AWS Cloud 常時通信 攻撃者のサーバー Tera Term
※【外部と通信を行うコマンド実行】 送信先のIPアドレス+ポート番号を指定します。 今回は2番のファイルのアップロードを使い、外部と通信を発生させる視点から、WEBサイトの乗っ 取りを行うプログラムを使います。 1.サーバーの管理者権限奪取 2.外部と通信を行うファイルのアップロード
動画 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
プログラミングとネットワークがわかると サーバーの乗っ取りのができちゃうんだ、、 なんとか防ぐ方法は、、 NACLとセキュリティグループがあります! 大丈夫!
紹介したプログラムを使い、NACLとセキュリティグループの動作を試してみます。 以下のケースを実行してみました。 ※WEBサイトの通信ポートは「443」です。 No. NACL / 許可 NACL / 拒否
SG / インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません No.1~3の結果がどうなるか予想がつきますか? ※もちろんすべてWEBサイトにはアクセスできます。 インフラエンジニアの方であればおわかりでしたね(´;ω;`) さすがです。
No.1結果 • 内部からの通信は失敗します。 • VPCフローログには、「 REJECT 」というログが残ります。 No. NACL /
許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 1 443 許可以外すべて すべて すべて 内部からの通信を通しません WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー NACLが守ります
WEBサーバー Security Group NACL AWS Cloud アウトバンドを 許可しているので、 Security Group
は守ってくれません でした! 攻撃者のサーバー No.2結果 • 内部からの通信は成功します。 • 情報の外部送信、WEBサイトの改ざんが成功します。 • VPCフローログには、「 REJECT 」というログが残りません。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します
WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー No.3結果 • 内部からの通信は失敗します。
• VPCフローログには、「 REJECT 」というログが残ります。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません Security Group が守ります
結果まとめ No. NACL / 許可 NACL / 拒否 SG /
インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません
OSSの中には、ポート番号指定でアウトバンド通信を行うも のがあります。 そういったポート番号を狙われた場合、セキュリティグルー プでは防げません。
※現実はケースバイケースです。 セキュリティグループに厳しい制限をつけて ネットワークACLも厳しい制限をつけて リスクが軽減されました。
今日の話に興味を持ってくださった方へ 22 ブースにもぜひ お立ち寄りください! 資料の公開やイベント告知は X で配信中! カジュアル面談も受け付け中! https://x.com/shiftevolve_jp
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f 以上
None