AWS上のサイバー攻撃に気をつけよう！

Transcript

1. AWS上のサイバー攻撃に気をつけよう 齋藤友宏 JAWS-UG東京 ランチタイムLT会＃5 2023年11月21日

2. 自己紹介 • 氏名：齋藤友宏 • 所属：某SIer • 仕事内容：AWS代理店運営（アカウント発行、サポート対応、サービス改善など） • 好きなAWSサービス：AWS Amplify,

   AWS Support • 2023 Japan AWS Jr. Champions • 2022〜2023 Japan AWS All Certifications Engineers

3. AWSへのサイバー攻撃について • 便利なAWSだが、その分攻撃対象になりやすい →過去に私が遭遇した事例（事象、原因、対策）を共有し、皆さ んが同じ過ちを繰り返さないようにしてもらいたい！

4. サイバー攻撃の大きな分類 • ①EC2への侵害（Abuse-report） • ②AWSアカウントへの侵害（Irregular activity）

5. サイバー攻撃の大きな分類 • ①EC2への侵害（Abuse-report） • ②AWSアカウントへの侵害（Irregular activity）

6. ①EC2への侵害（Abuse-report） • 第三者がEC2インスタンスへ不正ログインを実施 • DDoS攻撃に加担した挙動を確認 • ポートスキャンの実施

7. ①EC2への侵害（Abuse-report） • セキュリティグループの、SSHやRDPを0.0.0.0にしないこと！ • 侵害されたインスタンスは、安全が確認できない場合、AMI含めて削除 することを推奨！ • 原因：セキュリティグループを全開放していたため。

8. サイバー攻撃の大きな分類 • ①EC2への侵害（Abuse-report） • ②AWSアカウントへの侵害（Irregular activity）

9. ②AWSアカウントへの侵害 （Irregular activity） IAMユーザー 乗っ取り 別のIAMユー ザーを作成 USリージョンに EC2を70台ほど 立ち上げられる

   • AWSアカウント内に不審な挙動がある場合に通知される。

10. ②AWSアカウントへの侵害 （Irregular activity） • 原因：IAMユーザーのMFAを有効化していなかったため • アクセスキーをGit上に挙げたことで、侵害されたケースも有り • IAMユーザーのMFAは必ず有効化すること！ •

    アクセスキーはできるだけ使用せず、IAMロールを使用すること！

11. では、MFAを有効化すれば安全なのか？

12. MFAを有効化しても侵害される ・セッションIDを盗み見されたことにより、乗っ取られたと推測。 ・信頼できないネットワーク上でAWSへアクセスしないこと。 • MFAを有効化しているユーザーが乗っ取られ、MFAを無効化された後、様々な リソースをたくさん作成された。

13. まとめ • ちょっとした油断を悪意のある人は突いてくる。 • できる限りのアクセス制御や、最小権限の原則を守ること。それでも、攻撃 を絶対に防ぐことはできないと肝に銘じておく。 • アカウント侵害などを検知できるように準備しておくこと。 （例：GuardDuty、TrustedAdvisorなど） •

    侵害された場合、CloudTrailでしっかり調査を行い、意図しない挙動がない か全て確認すること。他にもリソースが作成されている可能性がある。 • 所感だが検証環境ほど起きやすい気がする。気を抜かずにしっかり対策す ることを推奨する。