サイバー攻撃のシミュレーション：攻撃者の視点からみる防御のむずかしさ！AWSで試してみよう / 20250423 Kumiko Hemmi

Transcript

1. サイバー攻撃のシミュレーション 攻撃者の視点からみる防御の難しさ！ AWSで試してみよう 株式会社SHIFT セキュリティ＆ネットワークサービス部 セキュリティサービス2グループ 辺見 久美子

2. 注意事項 6 本プレゼンで学んだ内容は絶対に悪用しないでください。 最悪の場合、被害が出ていなくても、法的処置を取られる可能性があります。 不正アクセス禁止法違反：3年以下の懲役または100万円以下の罰金 電子計算機損壊等業務妨害：5年以下の懲役または100万円以下の罰金 威力業務妨害：3年以下の懲役または50万円以下の罰金

3. 注意事項 7 本プレゼンに登場する脅威インテリジェンスツールは、 一般的なWebサイトよりもマルウェアをインストールしてしまう可能性が高いです。 危険なツールのため、利用しないでください。 ※わたしは特別な訓練をうけています。

4. 攻撃手法の解説 8 CVE検索 攻撃コード 検索 攻撃の一例をご紹介します。 攻撃対象 検索 攻撃対象 の確認

   攻撃 マルウェア 配布 コンピュータや ソフトウェアの 「悪いところ」を 見つけて名前を つける仕組みだよ。

5. 20 攻撃のまとめ

6. 23 ［攻撃のまとめ］ 攻撃側はたった一つの攻撃方法を知っていれば結果を出せます。 守る側はすべての脆弱性を塞がなくてはいけません。 現実的に、すべての攻撃方法を把握すること、防ぐことは困難です。 攻撃を受けたあとの対処方法までつくっておく必要があります。 攻撃よりも守る方が難しいです。 窓 扉 屋根

   壁 排水溝 エアコンの隙間 不在時 深夜 昼 早朝 人が少ない 地盤 土台 ベランダ お金が欲しいなら、 個人情報を盗んで 売ればいいんだよ。

7. OS グローバル ネットワーク ソースコード RDB ミドルウェア エッジ デバイス DNS インターナル

   ネットワーク ストレージ メール ID管理 認証 認可 物理ゲート セキュリティ対策対象だけでも こんなにある 全部入れておけばよさそうだけど お金がとぶ、、 防御なんて諦めて 楽な道を選ぼうよ ゼロトラスト クライアントPC サーバ 内部不正 SIEM IoT NoSQL API

8. 25 いろんなことを知ってなきゃいけないじゃん、、 やっぱりだめだった、、 簡単じゃなかった、、、 もうだめなのか、、 インターネットは恐い場所なのか、、 あきらめるしかないのか、、 現実逃避のじゅつ～

9. 26 そんなことはありません！ 例えばAWSには、 たくさんのセキュリティ対策用サービスが用意されています！

10. OS グローバル ネットワーク ソースコード RDB ミドルウェア エッジ デバイス DNS インターナル

    ネットワーク ストレージ メール ID管理 認証 認可 物理ゲート AWSでオレンジ枠を守れます！ 製造元がバラバラな セキュリティ製品を入れる必要は ありません。 ゼロトラスト クライアントPC サーバ 内部不正 SIEM IoT NoSQL API

11. セキュリティ用AWSサービス 28 攻撃の標的になった原因 １．使用している言語、言語のバージョンが外部に見えていた ２．ミドルウェアのバージョンが外部に見えていた Amazon CloudFront Amazon S3 AWS

    CodePipeline これで対策できます！

12. セキュリティ用AWSサービス 29 ファイルがアップロードされてしまった原因 １．プログラム、フレームワークに脆弱性があった ２．ミドルウェアに脆弱性があった (CVE:2017-12617、CVE-2024-50379など) (サイトにファイルアップロードの機能がなくても、ファイルをアップロードができることがあります。) Amazon Inspector 外部への通信が成功してしまった原因

    １．ポート制限をきちんとしていなかった ２．ネットワークの検査をしていなかった Amazon GuardDuty Security group NACL FW これで対策できます！ Amazon Fraud Detector Amazon CloudWatch

13. セキュリティ用AWSサービス 30 サイトの改ざん・個人情報の閲覧が成功してしまった原因 １．開発を楽にするために、ディレクトリ・ファイルの権限を755以上にしていた ２．データベース接続情報を平文で設置していた ３．個人情報をマスク化・暗号化せずに設置していた AWS Secrets Manager Amazon

    S3 AWS Lambda AWS Fargate サーバーレスに近づくほど セキュリティは高くなります。 これで対策できます！ Amazon API Gateway Amazon Macie AWS Glue AWS CloudHSM AWS Key Management Service (AWS KMS) AWS Identity and Access Management (IAM)

14. 31 明日からできること • プログラム、フレームワーク、OSSに脆弱性がないか見直す。 • WEBサーバーからのレスポンスにサーバー情報、言語情報が含まれないようにする。 • フロントエンドを難読化する。 • 開発段階の各フェーズでセキュリティ設計の見直しを行う

    アプリケーション側 Source code SDK Git repository Programming language JSON script Data table

15. 32 明日からできること • ミドルウェアにパッチをあてたり、バージョンアップをする。 • 内部からの怪しい通信を防御するインフラ構成にする。 • ポート制限、Network Firewall、IDS 、IPS

    、トラフィックミラーリング、サードパーティの仮想ネットワークアプ ライアンスなど不正な通信を検知・防御する方法はさまざまです。コストに見合わない過剰防御になること もあるので、要望に合わせたインフラ構成にしましょう。 • 開発段階の各フェーズでセキュリティ設計の見直しを行う インフラ側 Firewall Shield Database

16. 33 明日からできること • 定期的に脆弱性診断をする。（特にクラウドのIaaS構成の場合） • ログに興味をもってみる。 • IPS/IDSなど多くのセキュリティ製品は、ログを使って検知を行います。 • バックアップを物理的観点から、別の場所に定期的に取得する。

    運用側 Alert Logs Recover

17. 34 AWSを使えばいいとは言っても、 やっぱりいろんなことを知っていなきゃダメじゃん、、 今すぐ公開したいのに。 そんなときは、、 現実逃避のじゅつ～

18. 35 明日からできること 詳しい人（AWS 全冠取得者）に質問する！(敬称略) 自分も知りたい！そんな人は、まずは全冠を目指しましょう！ セキュリティを知るために、 インフラもアプリケーションもAI/MLも、 全ての知識や経験は防御を行うのに役にたちます！ セキュリティは総合格闘技です！ 山下

    生真 武之内 徹 大瀧広宣 貝田 崇浩 古野 真太郎 寅野 理司 海野 統哉 松尾 光敏

19. 36 メンターのご紹介

20. 37 メンターのご紹介(敬称略) 37 白木 翔也 武之内 徹 松尾 光敏 寅野

    理司 大瀧 広宣 ありがとうございました！

21. 38 好きな脅威インテリジェンスツール

22. 39 好きな脅威インテリジェンスツール have i been pwned? 下記がダークウェーブへ 流出していないか調べることができます。 ・メールアドレス ・電話番号

    例では流出しています！ Oh no – pwned!

23. 40 好きな脅威インテリジェンスツール aguse WEBサイトへのアクセス前に、 アクセスしても大丈夫なサイトか 調査できます。 例ではマルウェアが 検出されませんでした！ 安全です。 社内のみ

24. 41 好きな脅威インテリジェンスツール NVD 脆弱性の検索ができます。 掲載されている脆弱性の種類が豊富です。 更新も早いです。

25. 42 好きな脅威インテリジェンスツール BuiltWith WEBサイトで使われているWebテクノロ ジーを確認できるサイトです。

26. 43 好きな脅威インテリジェンスツール BuiltWith Webテクノロジーの一覧が表示され ます。 社内のみ