Upgrade to Pro — share decks privately, control downloads, hide ads and more …

こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ

Avatar for Takuya Yonezawa Takuya Yonezawa
November 08, 2025
Technology
2
110

こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ

Avatar for Takuya Yonezawa

Takuya Yonezawa

November 08, 2025
Tweet

More Decks by Takuya Yonezawa

See All by Takuya Yonezawa
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
Avatar for Takuya Yonezawa takuyay0ne
0
120
20250920_ServerlessDays
Avatar for Takuya Yonezawa takuyay0ne
9
3.6k
20250913_JAWS_sysad_kobe
Avatar for Takuya Yonezawa takuyay0ne
2
320
20250719_JAWS_kobe
Avatar for Takuya Yonezawa takuyay0ne
1
270
20250708_JAWS_opscdk
Avatar for Takuya Yonezawa takuyay0ne
2
210
20250509_reCheers
Avatar for Takuya Yonezawa takuyay0ne
1
190
20250416_CB_Kansai
Avatar for Takuya Yonezawa takuyay0ne
3
70
20250122_FinJAWS
Avatar for Takuya Yonezawa takuyay0ne
2
590
20250116_JAWS_Osaka
Avatar for Takuya Yonezawa takuyay0ne
2
420

Other Decks in Technology

See All in Technology
dbtとAIエージェントを組み合わせて見えたデータ調査の新しい形
Avatar for 10xinc 10xinc
7
1.8k
DMARCは導入したんだけど・・・現場のつぶやき 〜 BIMI?何それ美味しいの?
Avatar for HIRANO Yoshitaka hirachan
1
160
プロダクトエンジニアとしてのマインドセットの育み方 / How to improve product engineer mindset
Avatar for Jumpei Sakatsu saka2jp
1
180
ソフトウェアエンジニアとデータエンジニアの違い・キャリアチェンジ
Avatar for k.muguruma mtpooh
1
310
開発者が知っておきたい複雑さの正体/where-the-complexity-comes-from
Avatar for Ryo Tomidokoro hanhan1978
1
430
短期間でRAGシステムを実現 お客様と歩んだ生成AI内製化への道のり
Avatar for sakai taka0709
1
190
今日から使える AWS Step Functions 小技集 / AWS Step Functions Tips
Avatar for Masanori Yamaguchi kinunori
2
180
Copilotの精度を上げる!カスタムプロンプト入門.pdf
Avatar for Izumu KUSUNOKI ismk
5
1.3k
激動の2025年、Modern Data Stackの最新技術動向
Avatar for Sagara sagara
0
870
20251102 WordCamp Kansai 2025
Avatar for Chiaki Okamoto chiilog
1
550
AI-ready"のための"データ基盤 〜 LLMOpsで事業貢献するための基盤づくり
Avatar for Izumu KUSUNOKI ismk
0
120
20251106 Offers DeepDive 知識を民主化!あらゆる業務のスピードと品質を 改善するためのドキュメント自動更新・活用術
Avatar for Masashi Yokota masashiyokota
1
210

Featured

See All Featured
KATA
Avatar for Megan Lloyd mclloyd
PRO
32
15k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
36
7k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
234
17k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
7.7k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
190
11k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
10k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.1k
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.4k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
329
39k

Transcript

  1. 1 © 2025 Japan Digital Design, Inc. Takuya Yonezawa 2025.11.08

    〜 こんな時代だからこそ! 〜 想定しておきたい アクセスキー漏洩後のムーブ Security JAWS ~IAM Special~

  2. 2 © 2025 Japan Digital Design, Inc. お断り 本日お話する内容について 「妙にリアリティがあるな。。??」

    と思っても勘繰ってはいけません!

  3. 3 © 2025 Japan Digital Design, Inc. はじめに IAMユーザーとかは使わずにIdPを使ってくれよな! という気概が垣間見える

    (アクセスキーはIAMユーザーに紐づく) https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-authentication-user.html

  4. 4 © 2025 Japan Digital Design, Inc. はじめに とはいえ、アクセスキーを使わざるを得ない ワークロード/システムもあることでしょう

    そんな皆様のアクセスキーの運用について 見直すキッカケになれば幸いです

  5. 5 © 2025 Japan Digital Design, Inc. 米澤 拓也 Software

    Engineer Technology & Development Div. and Corporate Culture室 プロフィール 前職ではCCoE、現職ではSoftware Engineer。 フロント/バックエンドの実装からインフラ構築など何でもやってます 最近はReactを書いてるフロントエンド側。 証券系→銀行系 と 金融×IT なキャリアを歩んでいます 生息地:大阪 & 奈良、 趣味:キックボクシング/総合格闘技 --- Fin-JAWSの運営、AWS Community Builder (Serverless, 2023〜) JAWS DAYS 2024/2025、JAWS PANKRATION 2024運営 takuya_y0ne

  6. 6 © 2025 Japan Digital Design, Inc. 01 アクセスキーはどこから漏れるのか?

  7. 7 © 2025 Japan Digital Design, Inc. ぱっと思いつく経路 うっかり公開リポジトリにPush 開発者

    EC2 Instance Metadata 攻撃者 htttps://hogehoge.jp/?url=http://169.254.169.254/latest/meta-data/iam/security-credentials 脆弱性のあるEC2サーバからSSRFなどを 利用してMetadataからクレデンシャル奪取 マルウェア感染やサプライチェーン攻撃経由で ローカルのアクセスキーを外に持ち出される 端末

  8. 8 © 2025 Japan Digital Design, Inc. ぱっと思いつく経路 うっかり公開リポジトリにPush 開発者

    EC2 Instance Metadata 攻撃者 htttps://hogehoge.jp/?url=http://169.254.169.254/latest/meta-data/iam/security-credentials 脆弱性のあるEC2サーバからSSRFなどを 利用してMetadataからクレデンシャル奪取 マルウェア感染やサプライチェーン攻撃経由で ローカルのアクセスキーを外に持ち出される 端末

  9. 9 © 2025 Japan Digital Design, Inc. 最近震えたやつ https://www.wiz.io/blog/s1ngularity-supply-chain-attack 端末内のGenAI

    CLIを起動して 端末内のクレデンシャルを自動探索→インターネット公開

  10. 10 © 2025 Japan Digital Design, Inc. 何が言いたいかというと。。 どこにアクセスキーを置こうが、 漏洩する可能性があるので、

    ちゃんと漏洩後のムーブを想定しておきましょうね という話

  11. 11 © 2025 Japan Digital Design, Inc. 02 アクセスキーが奪取されたら何が起こるか

  12. 12 © 2025 Japan Digital Design, Inc. ぱっと思いつく事象 Bucket 悪い人

    悪い人 EC2 ECS SageMaker 機密情報の漏洩 (からの身代金要求?) クラウド破産 (全リージョンをマイニング工場化) 不正アクセス いっぱい リソース作成

  13. 13 © 2025 Japan Digital Design, Inc. Bucket 悪い人 悪い人

    EC2 ECS SageMaker 機密情報の漏洩 (からの身代金要求?) クラウド破産 (全リージョンをマイニング工場化) 不正アクセス いっぱい リソース作成 これらは"最終的に"表層化しているだけで、 裏ではいろんな仕込みをしている ぱっと思いつく事象

  14. 14 © 2025 Japan Digital Design, Inc. 03 攻撃者の気持ちになってみよう

  15. 15 © 2025 Japan Digital Design, Inc. 攻撃者の戦術 〜MITRE ATT&CK

    より〜 https://attack.mitre.org/tactics/enterprise/

  16. 16 © 2025 Japan Digital Design, Inc. 悪い人 奪ったアクセスキーで 削除や設定変更

    TA0003 – Persistence – 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかく侵入出来るようになった アカウントに長く居座りたい! 正規利用者を締め出しちゃえ! アクセスキー IAMロール IAMユーザー AWS環境に アクセスできない 正規利用者 まずはAWSアカウントに入れるか否か確認

  17. 17 © 2025 Japan Digital Design, Inc. TA0003 – Persistence

    – 持続性 アカウントに入れなければ AWSサポートフォームに起票(英語) https://support.aws.amazon.com/#/contacts/one-support https://support.aws.amazon.com/#/contacts/one-support 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかく侵入出来るようになった アカウントに長く居座りたい! 正規利用者を締め出しちゃえ!

  18. 18 © 2025 Japan Digital Design, Inc. TA0003 – Persistence

    – 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかくアクセスキー奪ったのに すぐにアクセスキー無効化されて 塞がれたら困りますよね?? 悪い人1 奪ったアクセスキーで 新規作成/変更 アクセスキー IAMロール 悪い人2 悪い人1 奪ったアクセスキーで 新規作成 悪い人2 EC2 ECS SSHやSSM経由

  19. 19 © 2025 Japan Digital Design, Inc. 悪い人1 奪ったアクセスキー (無効化)

    悪い人2 悪い人1 奪ったアクセスキー (無効化) 悪い人2 EC2 ECS SSHやSSM経由 継続アクセス可 アクセスキー IAMロール TA0003 – Persistence – 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかくアクセスキー奪ったのに すぐにアクセスキー無効化されて 塞がれたら困りますよね??

  20. 20 © 2025 Japan Digital Design, Inc. 何が言いたいかというと。。 漏洩したアクセスキーをローテ/無効化しても バックドアを仕込まれて継続アクセスされてしまう

    アクセスキーを潰したから被害拡大は抑えた! とは思ってはいけない

  21. 21 © 2025 Japan Digital Design, Inc. 04 止血処理

  22. 22 © 2025 Japan Digital Design, Inc. まずは 大前提として。。 異常に気付ける仕組み/体制はありますか?

    ex.) GuardDuty, Cost Anomaly Detection, Budgets, Abuse Report, etc...

  23. 23 © 2025 Japan Digital Design, Inc. 止血処理 漏洩したアクセスキー無効化 アクセスキー

    - アクセスキーの棚卸ししてますか? - 必要以上の権限を与えていませんか? - 別アカウントにSwitch Roleできる 設定になっていませんか?(2次被害) CloudTrail調査 CloudTrail CloudTrail Lake Amazon Q - 特定のアクセスキーのAPI発行履歴を すぐに追跡できる体制はありますか? - 調査方法は確立されていますか?

  24. 24 © 2025 Japan Digital Design, Inc. 止血処理 コンピュートリソース停止/削除 IAMユーザー/ロール/アクセスキー

    確認・修正 アクセスキー IAMロール IAMユーザー - IAM関連リソースは棚卸ししてますか? - 妙な外部Principalが設定されていませんか? - IAM認証情報レポート活用してますか? - GuardDutyなどのアラート見てますか? Region Region Region Region - リソースの棚卸ししてますか? - 真に必要なリソース把握してますか? - オプトインされているリージョンは すべてチェックしましたか? - AdministratorAccess付いてないですか?

  25. 25 © 2025 Japan Digital Design, Inc. 05 まとめ

  26. 26 © 2025 Japan Digital Design, Inc. まとめ 攻撃者側も 様々な環境に迅速に侵入・影響拡大できるよう

    攻撃テンプレートを準備していると思われる 適切・迅速に対処できるよう、 アカウントの"正常な状態"の把握や 調査方法のシミュレーションをやっておこう!

  27. Thank you. 27 © 2025 Japan Digital Design, Inc.

  28. 28 © 2025 Japan Digital Design, Inc. Appendix. 先日このような記事を書きました https://qiita.com/takuyayone/items/09d6e3efc0c720f620c7

  29. 29 © 2025 Japan Digital Design, Inc. Appendix. 攻撃者の具体的な行動パターンは DAYS

    2021の上記資料がとても参考になる https://jawsdays2021.jaws-ug.jp/timetable/track-b-1000/