Upgrade to Pro — share decks privately, control downloads, hide ads and more …

次世代ランサムウェア対策の考察 / 20260704 Mitsutoshi Matsuo

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.

次世代ランサムウェア対策の考察 / 20260704 Mitsutoshi Matsuo

2026/7/4 JAWS-UG 栃木 オフライン # 9 -Summitおつかれさま回-
https://jawsug-tochigi.connpass.com/event/397084/

株式会社SHIFT
松尾 光敏

Avatar for SHIFT EVOLVE

SHIFT EVOLVE PRO

July 03, 2026

More Decks by SHIFT EVOLVE

Other Decks in Technology

Transcript

  1. 1 ★ はじめに(自己紹介) ◆松尾 光敏 ◆業務内容 ➢官公庁案件が中心。行政機関でのガバメントクラウドの利用支援 etc... ◆受賞/保有資格 ➢2026

    Japan AWS Ambassadors(※credlyでバッチが未発行…) ➢2026 Japan AWS Top Engineers(Security) ➢2026-2023 Japan AWS All Certifications Engineers ➢その他/CISSP、CISA、PMP etc...
  2. 4 1.1.被害事例① ー S3の暗号化機能(SSE-C)を逆手に取る(2025年報告) S3のSSE-Cを悪用し、鍵なしでは復元不能な状態を作り出す事例 【出典】Abusing AWS Native Services: Ransomware

    Encrypting S3 Buckets with SSE-C(halcyon) https://www.halcyon.ai/blog/abusing-aws-native-services-ransomware-encrypting-s3-buckets-with-sse-c GitHubなどに漏えいした、または窃取したS3アクセスキー (s3:GetObject / s3:PutObject 権限)を入手する。 1 SSE-C(AWS利用者側の鍵によるサーバーサイド暗号化) により攻撃者がローカル生成した暗号鍵(AES-256bit) によりオブジェクトを再暗号化する。 2 各ディレクトリに身代金要求文を設置。Bitcoin支払いを 要求し、権限変更は交渉打ち切りと警告する。 3 S3ライフサイクルポリシーで対象を「7日後に削除」設定し、 支払いを急がせる。 4 攻撃の流れ AWS側にはSSE-C鍵を保存しないため、攻撃者の鍵なしに S3などの保存データを復号する手段は存在しない。 CloudTrailには鍵のHMACのみ記録。鍵の再構成にも 調査にも使えない。 AWS利用者が管理している認証情報を悪用した攻撃と なっている。 影響・特徴 データ復元はほぼ不可能 AWS利用者の認証情報の管理が原因 フォレンジック不可
  3. 5 1.2.被害事例② ーサプライチェーン経由のAWSキー窃取(2026年報告) CI/CDに組み込まれたツールの汚染からAWSキーが流出し、クラウド資産が恐喝対象となった最新事例 【出典】Hackers hit Cisco: 3M Salesforce records,

    GitHub repos allegedly stolen (cybernews) https://cybernews.com/security/hackers-blackmail-cisco-over-stolen-salesforce-data/ 脆弱性スキャナ Trivy の「trivy-action」に攻撃者が マルウェアを注入する(サプライチェーン汚染)。 1 汚染された「trivy-action」を実行した被害企業から、 複数のAWSキーとGitHubリポジトリ(300超)が流出する。 2 ShinyHunters(攻撃グループ)がEBSおよびS3などの ストレージ一覧のスクリーンショットを被害企業に提示し、 恐喝を開始する。 3 被害企業より、CRM等の複数侵害と組み合わせた 大規模なデータ恐喝として公表される。 4 攻撃の流れ CI/CDに組み込まれたツールの一点汚染が多数の組織へ 波及した。 データ単体ではなく、EBSやS3などのストレージそのものが 恐喝の対象とされた。 AWS利用者が管理している認証情報を悪用した攻撃と なっている。 影響・特徴 CI/CDが侵入経路 AWS利用者の認証情報の管理が原因 クラウド資産が標的
  4. 8 2.1.組織的施策 × 技術的施策 と 予防的統制 × 発見的統制 ランサムウェアなどのサイバー攻撃の対策は、「組織的施策」のほか「技術的施策」の組合せが重要となります。 また、「予防的統制(事前対応)」のほか「発見的統制(事後対応)」も考慮する必要があります。

    【出典】レジリエンス by デザイン: 効果的なランサムウェアからの復旧戦略の策定(AWS)より一部抜粋 https://aws.amazon.com/jp/blogs/news/resilience-by-design-building-an-effective-ransomware-recovery-strategy/ 組織的施策 技術的施策により組んだアーキテクチャに対して 運用上のフィジビリティ(実現性)を 組織的施策で確保する。 技術的施策
  5. 9 2.2. 「ランサム危機を転機にーアスクルが加速させた AI-DLC」を聴講・・・ 「ランサム危機を転機にーアスクルが加速させた AI-DLC」を聴講して、被害状況の分析および意思決定事項 を整理し、AI-DLCにより自力でシステムの早期復旧(再構築)を目指したとのこと! 組織的施策 + 技術的施策

    【出典】・レジリエンス by デザイン: 効果的なランサムウェアからの復旧戦略の策定(AWS)より一部抜粋 https://aws.amazon.com/jp/blogs/news/resilience-by-design-building-an-effective-ransomware-recovery-strategy/ ・AI 駆動開発ライフサイクル:ソフトウェアエンジニアリングの再構築(AWS)より一部抜粋 https://aws.amazon.com/jp/blogs/news/resilience-by-design-building-an-effective-ransomware-recovery-strategy/ ・ランサム危機を転機にーアスクルが加速させた AI-DLC(AWS)より一部抜粋 https://summitjapan.awslivestream.com/jpn-aim146/live/ AI-DLCにより安全に復旧 意思決定 業務復旧を加速 AI-DLCを採用 ・意思決定の加速化 ⇒本部長をCEOなど etc... ・対策本部の設置 ⇒本部長をCEOなどで現場の 意思決定を重視