AWSにおけるサイバー攻撃の傾向と具体的な対策

Transcript

1. AWSにおけるサイバー攻撃の傾向と具体的な対策 2025年3月18日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼

   登壇者：大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 500以上のAWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します サイバー攻撃の傾向

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃にどう向き合うか

   サイバー攻撃の傾向 ◼ パブリッククラウドの利用増加に伴い、情報漏洩などのインシデントが増加傾向にある。 ◼ サイバー攻撃は完全に防げないことを前提に対策をしていく必要がある。 ◼ サイバー攻撃の例を挙げて、被害を最小限に抑えるための対策、起きた時の対策を考える。 順位 情報セキュリティ10大脅威 1 ランサムウェアによる被害（前年1位） 2 サプライチェーンの弱点を悪用した攻撃（前年2位） 3 内部不正による情報漏えい等の被害（前年4位 ） 4 標的型攻撃による機密情報の窃取（前年3位 ） 5 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（前年6位 ） 6 不注意による情報漏えい等の被害（前年9位 ） 7 脆弱性対策情報の公開に伴う悪用増加（前年8位 ） 8 ビジネスメール詐欺による金銭被害（前年7位 ） 9 テレワーク等のニューノーマルな働き方を狙った攻撃（前年5位 ） 10 犯罪のビジネス化（アンダーグラウンドサービス）（前年10位）

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 認証情報漏えいへの対策

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

   EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ ここではSSRF攻撃を例に認証情報が取得されるケースを説明します。SSRF攻撃はWeb アプリケーションの脆弱性を 利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法です。 ◼ 脆弱性が存在する場合、IMDSのエンドポイントにアクセスすることでIAMロール名を取得できます。 攻撃者 test-XX-role Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント 169.254.169.254 http://www.test.com/test.php?site=169.254.169.254/latest/ meta-data/iam/security-credentials/

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

   EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ 脆弱性がある場合、取得したIAMロール名を含んだエンドポイントのURLにアクセスすると、認証情報を取得できます。 Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント 攻撃者 { "Code": "Success", "LastUpdated": "20XX-XX-XXT12:34:56Z", "Type": "AWS-HMAC", "AccessKeyId": “XXXXXXXXXX", "SecretAccessKey": " XXXXXXXXXXXXXXXXXXXX ", "Token": " XXXXXXXXXXXXXXXXXXXX ", "Expiration": "20XX-XX-XXT18:34:56Z" } http://www.test.com/test.php?site=169.254.169.254/latest/ meta-data/iam/security-credentials/test-XX-role

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

   EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策①：WAFの設定を最適化する ⚫ IMDSv2に移行しただけでは、Gopherプロトコルを利用したリクエストを細かく制御したSSRF攻撃を防げない ➢ アプリケーションに脆弱性がある場合や誤設定がある場合に限る ➢ WAFで「http://169.254.169.254/」が含まれているリクエストをブロックする設定を加えることが重要 ➢ カスタムルールでQuery stringを設定する方法 ➢ マネージドルール(AWSManagedRulesCommonRuleSet)で設定する方法

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

   EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策②：IMDSv2への移行 ⚫ IMDSv2ではすべてのリクエストに対して事前に取得したセッショントークンが必要 ➢ SSRF攻撃だけではメタデータにアクセスしにくい ➢ 既存環境への影響は最優先で考える AWSマネジメントコンソール

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

    EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策②：IMDSv2への移行 ⚫ 宣言型ポリシーで組織全体でIMDSv2強制する Root OU System-AA OU アカウント_01 アカウント_02 マネジメントアカウント Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) System-BB OU アカウント_03 アカウント_04 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

    EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策②：IMDSv2への移行 ⚫ 宣言型ポリシーで組織全体でIMDSv2強制することはできるが、全ての環境で宣言型ポリシーを適用できるとは言えない。 ⚫ また、すべての環境に「SSRF攻撃の対策①： WAFの設定を最適化する」が使用できるとも限らない。 ⚫ 攻撃の被害を最小限に抑える手段と効率的な構成管理が必要になる。 Root OU System-AA OU アカウント_01 アカウント_02 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) System-BB OU アカウント_03 アカウント_04 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃による被害を最小限に抑えるために

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 組織設計について

    攻撃による被害を最小限に抑えるために ◼ 単一アカウントでシステムを管理することの問題点 ⚫ 複数環境のAWSリソースが単一アカウントにあることでリソースの追跡性が損なわれる ⚫ 誤ったリソースの操作が発生する可能性がある ⚫ クォータの制限に引っ掛かりやすくなる ⚫ 攻撃の影響が広がりやすい AWS account Virtual private cloud (VPC) 開発環境 Virtual private cloud (VPC) 検証環境 Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 組織設計について

    攻撃による被害を最小限に抑えるために ◼ マルチアカウントでシステムを管理することの重要性 ⚫ リソースの追跡性が容易になる ⚫ 誤ったリソースの操作が発生する可能性を抑えられる ⚫ クォータの制限に引っ掛かりにくい ⚫ 攻撃の影響を制限しやすい ⚫ コスト配分の容易性を強化する AWS account Virtual private cloud (VPC) 開発環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 検証環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2)

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 組織設計について

    攻撃による被害を最小限に抑えるために ◼ マルチアカウントをどのように管理していくのか ⚫ AWS Organizationsを活用してOUごとに部署、システム単位で管理していく必要がある ⚫ Control Towerを導入することでより統制を強化しやすくなる ➢ メンバーアカウントに大きな影響が出るような統制を効かせてはいけない System A OU Account Account Account System B OU Account Account Account System C OU Account Account Account Root OU Management account AWS Control Tower

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 効率的な構成管理

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Configで脆弱性を可視化する

    効率的な構成管理 ◼ 組織全体で脆弱な設定を検知するためのConfigをデプロイする ◼ どの環境でも脆弱性を可視化して、気づけるようにする Root OU AWS account Amazon Elastic Compute Cloud (Amazon EC2) AWS account AWS account AWS Config Amazon Elastic Compute Cloud (Amazon EC2) AWS Config Amazon Elastic Compute Cloud (Amazon EC2) AWS Config Management account AWS Control Tower

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Service

    CatalogでConfigルールをデプロイする 効率的な構成管理 ◼ Service Catalogを使うことでControl TowerからAWSアカウントを発行した際に自動でConfigルールをデプロイする できる ◼ この構成を実装することで、自動でセキュアな設定がされたAWSアカウントを作成することができる Management account AWS account AWS account AWS account AWS Config AWS Config AWS Config AWS Control Tower AWS Service Catalog

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Service

    CatalogでConfigルールをデプロイする 効率的な構成管理 ◼ SSM Automationを使うことでConfigで検知したコンプライアンス違反のリソースを自動で修復することができる ◼ この構成を実装することで、マネージドサービスのみで発見的統制と自動修復を実装することができる Management account AWS account AWS account AWS account AWS Control Tower AWS Service Catalog AWS Systems Manager Automation Amazon Elastic Compute Cloud (Amazon EC2) AWS Config AWS Systems Manager Automation Amazon Elastic Compute Cloud (Amazon EC2) AWS Config AWS Systems Manager Automation Amazon Elastic Compute Cloud (Amazon EC2) AWS Config

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃された後の運用を考える

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃に気づくために

    攻撃された後の運用を考える ◼ 理想の運用を実現するためにセキュリティ通知方法を選定する ⚫ メール通知：Slackで障害起きても通知を受信できるようにするため ⚫ Slack通知：セキュリティ通知のスレッドに返信する形で検知への改善方法を議論できる ⚫ Backlog通知：チケット化してセキュリティ検知に対応できる ➢「なぜ、その通知方法を選んだのか」が重要になる AWS Lambda Amazon Bedrock AWS Security Hub メール通知 Slack通知 Backlog通知 Amazon EventBridge

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 影響範囲を調査する

    攻撃された後の運用を考える ◼ ホストレベルのログいつでも調査できるようにしておく ⚫ Amazon Athenaでクエリのみでもよいが、Amazon QuickSightを使用するとログのグラフ化による定期的なセキュリティ分析に も活用することができる ⚫ セキュリティインシデント時もグラフ化によって影響調査をサポートしてくれる AWS account Virtual private cloud (VPC) Amazon Elastic Compute Cloud (Amazon EC2) Amazon CloudWatch Logs Amazon Data Firehose Amazon Simple Storage Service (Amazon S3) Amazon Athena Amazon QuickSight

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します まとめ

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼

    サイバー攻撃は増加・高度化しており、どのような攻撃が現実的な脅威なのかを把握することが、すべての対策の出 発点となる ◼ 脆弱性は「存在すること」を前提とし、検知・可視化を継続的に行う仕組みを組織全体で整備することが重要である ◼ 攻撃の影響を最小限に抑えるためには、マルチアカウント構成による環境分離と適切なアクセス制御が不可欠であ る ◼ すべての環境で同一の統制を適用できないことを前提に、予防的統制と発見的統制を組み合わせた現実的な設 計が求められる ◼ インシデント発生時に迅速な対応を行うためには、「どのサービスが、どのデータをもとに検知・調査を行うのか」を事前 に整理し、コストを考慮したうえで必要十分なログとデータソースを準備しておくことが重要である まとめ
25. None