Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
Search
アキキー | Akihisa Ikeda
May 20, 2026
Programming
110
1
Share
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた
アキキー | Akihisa Ikeda
May 20, 2026
More Decks by アキキー | Akihisa Ikeda
See All by アキキー | Akihisa Ikeda
AWSはOSSをどのように 考えているのか?
akihisaikeda
0
120
最初からAWS CDKで技術検証してもいいんじゃない?
akihisaikeda
4
210
責任感のあるCloudWatchアラームを設計しよう
akihisaikeda
3
230
AWS CDKの推しポイントN選
akihisaikeda
1
310
地獄絵図!CDKプロジェクトを手動更新して生まれた大量のプロパティ差分を解消する方法
akihisaikeda
5
1.1k
AWS CDK初期設定のプラクティス集 with Projen
akihisaikeda
2
470
AWS CDKの推しポイント 〜CloudFormationと比較してみた〜
akihisaikeda
4
730
AI生成記事をリライトし満足度を上げようとしたら大変だった話
akihisaikeda
0
60
スモールスタートで始めるためのLambda×モノリス(Lambdalith)
akihisaikeda
2
1.1k
Other Decks in Programming
See All in Programming
WebAssembly を読み込むベストプラクティス 2026年春版 / Best Practices for Loading WebAssembly (Spring 2026)
petamoriken
5
1.1k
横断組織出身のQAEがインプロセスQAEでつまずいたこと・活かせたこと
ty89
0
110
AIを導入する前にやるべきこと
negima
2
360
AlarmKitで明後日起きれるアラームアプリを作る
trickart
0
140
Lightning-Fast Method Calls with Ruby 4.1 ZJIT / RubyKaigi 2026
k0kubun
3
3.2k
Agentic UI in the Frontend: Architectures with Open Standards @JAX 2026 in Mainz
manfredsteyer
PRO
0
120
GoogleCloudとterraform完全に理解した
terisuke
1
200
UaaL×Androidアプリのメモリ計測 — Memory Profilerの先へ
rio432
0
160
決定論 vs 確率論:Gemini 3 FlashとTF-IDFを組み合わせた「法規判定エンジン」の構築
shukob
0
160
From Formal Specification to Property Based Test
ohbarye
0
2.6k
How We Practice Exploratory Testing in Iterative Development( #scrumniigata ) / 反復開発の中で、探索的テストをどう実施しているか
teyamagu
PRO
3
850
TSKaigi2026-静的解析への投資がAI時代のコード品質を支える ── カスタムESLintルールの設計と運用
hayatokudou
2
140
Featured
See All Featured
Designing for humans not robots
tammielis
254
26k
Chasing Engaging Ingredients in Design
codingconduct
0
190
Prompt Engineering for Job Search
mfonobong
0
300
Building AI with AI
inesmontani
PRO
1
1k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
140
Documentation Writing (for coders)
carmenintech
77
5.3k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
31
10k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
120
Abbi's Birthday
coloredviolet
2
7.6k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.4k
It's Worth the Effort
3n
188
29k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
410
Transcript
ECR拡張スキャンでSBOMを収集して サプライチェーン攻撃の影響調査を 爆速で終わらせてみた 2026.5.20 池田 晃尚(@akikii__)
アキキー | 池田 晃尚 株式会社メイツ バックエンドエンジニア / SRE 推しサービス AWS
CDK AWS CDKへのコントリビュート 8件 JAWS-UG CDK支部運営
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath
2026/3/19 Trivy 2026/3/23 Checkmarx KICS 2026/3/24 LiteLLM / Telnyx 2026/3/31
axios 2026/4/22 Bitwarden CLI 2026/5/11 TanStack / Mistral AI / UiPath → たくさんのツールがサプライチェーン攻撃による侵害を受けています!
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは
ソフトウェアが依存するライブラリやツールに悪意あるコードを混入 し、取り込んだプロダクトを間接的に侵害する攻撃手法 2026/3/31 - npmパッケージ「axios」の侵害 メンテナーアカウントの乗っ取りにより悪意あるバージョンが公開されました。 インストールするだけでRATが展開、ローカルのクレデンシャル・APIキーが外部に送信されまし た。 → プロダクトに影響がないか迅速に調査する必要がある
ソフトウェアサプライチェーン攻撃とは SBOMを利用してコンテナイメージへの影響範囲を 一瞬で特定する方法を紹介します!
SBOM?
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0"
ソフトウェアに含まれているOSやパッケージの部品表 どのコンテナでどのパッケージが使われているかがわかる SBOM(Software Bill of Materials )とは パッケージ名、バージョン、パッケージURLなど... { "bomFormat":
"CycloneDX", "specVersion": "1.4", "version": 1, "metadata": { "timestamp": "2026-05-18T08:29:10Z", "component": { "type": "operating-system", "name": "AMAZON_LINUX_2023", "version": "27.4.0" ECR拡張スキャンを利用すると SBOMをエクスポートできる!
ECR拡張スキャン?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) ECRイメージスキャン(拡張スキャン)とは?
ECRリポジトリに登録されたコンテナイメージをセキュリティスキャン するAmazon Inspectorの機能(ECRに統合されている) OS・パッケージ/ライブラリの脆弱性を検出 脆弱性DBにCVEが追加されるとスキャン(継続スキャンの場合) コンテナイメージの SBOM をエクスポートできる ECRイメージスキャン(拡張スキャン)とは? ※
ECRベーシックスキャン、プッシュスキャンはSBOMエクスポート非対応
サプライチェーン攻撃の影響範囲を調査する
SBOM なし SBOM あり 攻撃が公表される イメージごとに手動で調査 する SBOM を横断検索して影響イ メージを抽出
対策を行う サプライチェーン攻撃の影響範囲調査(例)
アーキテクチャ CI/CDで拡張スキャンのAPIを呼び出してSBOMをエクスポート
影響調査デモ AthenaでSBOMを検索して影響調査を行う 0:00 / 0:17
まとめ SBOMを横断で検索する仕組みを作ると サプライチェーン攻撃の影響調査が爆速で 終わる!!!
宣伝
AWS CDK Conference Japan 2026 7.18(土) 開催決定! JAWS-UG CDK支部 主催
詳細は近日公開予定 Call for Proposal 登壇者募集中! (5/31 23:59まで)
株式会社メイツ Mates Inc. AWS Summit Japan 2026 2026.6.25 (木) –
26 (金) 幕張メッセ S P E A K E R A N N O U N C E M E N T 弊社チーフエンジニアが AWS Summit Japan に登壇します S P E A K E R 後藤 健太 AWS DevTools Hero 株式会社メイツ / Chief Engineer D E V 3 5 2 B R E A K O U T S E S S I O N 2026.6.26 (金) 13:40 – 14:10 幕張メッセ Hall 4 / Room 11
リードエンジニア(バックエンド/フロントエンド/SRE) 積極採用中 株式会社メイツ Mates Inc. カジュアル面談はこちら
Thank You! \ ご清聴ありがとうございました! /
akihisaikeda
petamoriken
ty89
negima
trickart
k0kubun
manfredsteyer
terisuke
rio432
shukob
ohbarye
teyamagu
hayatokudou
tammielis
codingconduct
mfonobong
inesmontani
marketingsoph
carmenintech
eileencodes
akademiya2063
coloredviolet
marcduiker
3n
marktimemedia
