Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
アキキー | Akihisa Ikeda
May 20, 2026
Programming
240
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
アキキー | Akihisa Ikeda
May 20, 2026
More Decks by アキキー | Akihisa Ikeda
See All by アキキー | Akihisa Ikeda
ECSアプリログをFireLensでコスト削減しようとしたけど諦めた話 in Fargate×Node.js
akihisaikeda
2
3.9k
AWSはOSSをどのように 考えているのか?
akihisaikeda
1
150
最初からAWS CDKで技術検証してもいいんじゃない?
akihisaikeda
4
230
責任感のあるCloudWatchアラームを設計しよう
akihisaikeda
4
240
AWS CDKの推しポイントN選
akihisaikeda
1
320
地獄絵図!CDKプロジェクトを手動更新して生まれた大量のプロパティ差分を解消する方法
akihisaikeda
5
1.1k
AWS CDK初期設定のプラクティス集 with Projen
akihisaikeda
2
480
AWS CDKの推しポイント 〜CloudFormationと比較してみた〜
akihisaikeda
4
760
AI生成記事をリライトし満足度を上げようとしたら大変だった話
akihisaikeda
0
63
Other Decks in Programming
See All in Programming
Contextとはなにか
chiroruxx
0
140
Claspは野良GASの夢をみるか
takter00
0
180
JavaDoc 再入門
nagise
0
310
LLM本来の能力を解き放つサンドボックス技術とAI民主化への適用
yukukotani
3
3.4k
Language Server 使ってる? 〜VSCode と Zed の場合〜 / Are you using a Language Server? ~For VS Code and Zed~
handlename
0
770
AIチームを指揮するOSS「TAKT」活用術 / How to Use “TAKT,” an OSS Tool for Orchestrating AI Teams
nrslib
6
850
AI 時代のソフトウェア設計の学び方
masuda220
PRO
29
12k
Datadog × OpenTelemetry 入門と実践のあいだ
kn_to_maxpno
1
150
Why Laravel apps break—Mastering the fundamentals to keep them maintainable
kentaroutakeda
1
340
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
terryu16
0
250
AIエージェントの隔離技術の徹底比較
kawayu
0
470
タクシーアプリ『GO』の バックエンド開発のおける AI利活用と若者のすべて
pyama86
3
1.9k
Featured
See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
Thoughts on Productivity
jonyablonski
76
5.2k
Ruling the World: When Life Gets Gamed
codingconduct
0
250
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
570
Evolving SEO for Evolving Search Engines
ryanjones
0
210
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.3k
Docker and Python
trallard
47
3.9k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
360
What does AI have to do with Human Rights?
axbom
PRO
1
2.2k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
300
A better future with KSS
kneath
240
18k
Designing Powerful Visuals for Engaging Learning
tmiket
1
400
Transcript
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた 2026.5.20 池田 晃尚(@akikii__)
アキキー | 池田 晃尚 株式会社メイツ バックエンドエンジニア / SRE 推しサービス AWS
CDK AWS CDKへのコントリビュート 8件 JAWS-UG CDK支部運営
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath → たくさんのツールがサプライチェーン攻撃による侵害を受けています!
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは SBOMを利用してコンテナイメージへの影響範囲を 一瞬で特定する方法を紹介します!
SBOM?
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0"
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0" ECR拡張スキャンを利用すると SBOMをエクスポートできる!
ECR拡張スキャン?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) ECRイメージスキャン(拡張スキャン)とは?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) OS・パッケージ/ライブラリの脆弱性を検出 脆弱性DBにCVEが追加されるとスキャン(継続スキャンの場合) コンテナイメージの SBOM をエクスポートできる ECRイメージスキャン(拡張スキャン)とは? ※
ECRベーシックスキャン、プッシュスキャンはSBOMエクスポート非対応
サプライチェーン攻撃の影響範囲を調査する
SBOM なし SBOM あり 攻撃が公表される イメージごとに手動で調査 する SBOM を横断検索して影響イ メージを抽出
対策を行う サプライチェーン攻撃の影響範囲調査(例)
アーキテクチャ CI/CDで拡張スキャンのAPIを呼び出してSBOMをエクスポート
影響調査デモ AthenaでSBOMを検索して影響調査を行う 0:00 / 0:17
まとめ SBOMを横断で検索する仕組みを作ると サプライチェーン攻撃の影響調査が爆速で 終わる!!!
宣伝
AWS CDK Conference Japan 2026 7.18(土) 開催決定! JAWS-UG CDK支部 主催
詳細は近日公開予定 Call for Proposal 登壇者募集中! (5/31 23:59まで)
株式会社メイツ Mates Inc. AWS Summit Japan 2026 2026.6.25 (木) –
26 (金) 幕張メッセ S P E A K E R A N N O U N C E M E N T 弊社チーフエンジニアが AWS Summit Japan に登壇します S P E A K E R 後藤 健太 AWS DevTools Hero 株式会社メイツ / Chief Engineer D E V 3 5 2 B R E A K O U T S E S S I O N 2026.6.26 (金) 13:40 – 14:10 幕張メッセ Hall 4 / Room 11
リードエンジニア(バックエンド/フロントエンド/SRE) 積極採用中 株式会社メイツ Mates Inc. カジュアル面談はこちら
Thank You! \ ご清聴ありがとうございました! /
akihisaikeda
chiroruxx
takter00
nagise
yukukotani
handlename
nrslib
masuda220
kn_to_maxpno
kentaroutakeda
terryu16
kawayu
pyama86
rmw
jonyablonski
codingconduct
chikuwait
ryanjones
aleyda
trallard
akashhashmi
axbom
tamaranovitovic
kneath
tmiket
