Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMアクセスキー漏洩について
Search
平木佳介
July 16, 2025
0
47
IAMアクセスキー漏洩について
Security.any #5 今だから言えるセキュリティLTのLT資料です
平木佳介
July 16, 2025
Tweet
Share
More Decks by 平木佳介
See All by 平木佳介
安全にAIを活用してセキュリティ運用を効率化した実践談 ~JAWS DAYS 2026
khiraki
0
37
セキュリティ運用の可能性を感じた AWS Well-Architected Security Assessment Tool MCP Server をご紹介します
khiraki
1
170
ブログ用スライド- Gemini版Slide
khiraki
0
700
ブログ用スライド- ChatGPT版Slide
khiraki
0
700
AWS Organizationsの組織ポリシー 使ってますか?~ Toranomon Tech Hub 第5回 ~
khiraki
0
150
AWSにおける OWASP Non-Human Identities (NHI) Top10 対策を考える
khiraki
0
110
AWS Community Buildersを布教したい件について
khiraki
0
26
Organizations のポリシー使いこなしてますか? ~最新の Security Hub ポリシーを添えて~
khiraki
0
22
クラウド食堂 #2 ~AWSネタでLT会~ 登壇ネタのためにAWSの運用で地味に使えそうな ブラウザ拡張機能を作ってみた
khiraki
0
690
Featured
See All Featured
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
480
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
1.9k
Done Done
chrislema
186
16k
How to make the Groovebox
asonas
2
2k
Test your architecture with Archunit
thirion
1
2.2k
Marketing to machines
jonoalderson
1
5k
Deep Space Network (abreviated)
tonyrice
0
88
Utilizing Notion as your number one productivity tool
mfonobong
4
250
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
130
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
davidcarrasco
0
82
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
inesmontani
PRO
3
3.1k
BBQ
matthewcrist
89
10k
Transcript
IAM アクセスキー漏洩について 実例から学んだこと 平木佳介(Hiraki Keisuke ) 1
自己紹介 平木佳介(Hiraki Keisuke ) 所属: 株式会社サイバーセキュリティクラウド ロール: テクニカルアカウントマネージャー 取扱製品: CloudFastener
専門分野: クラウド環境におけるセキュリティやガバナンス クラウド利用ガイドラインの策定 認定 2025 Japan All AWS Certifications Engineers AWS Community Builders - Cloud Operations 2
「アクセスキー漏洩が複数回発生している お客様の相談に乗ってくれませんか?」 ある日、営業さんから相談依頼が来たため同席 3
事案の詳細 何が起こったのか? システム構成 CloudSearch を使用した検索機能 外部公開 Web アプリケーション アクセスキーによる認証 発生状況
AWS からの漏洩通知 数日おきに繰り返し発生 通知の度にキー変更 技術的制約 IAM ロール利用困難 Secret Manager 呼び出し困難 お客様の状況 「どうしたらいいか分からない」 「毎回キーを変更するのが限界」 4
当時の運用フロー アプリケーション チャットアプリ アプリケーション チャットアプリ 🚨 平文で送信 🚨 人力作業 管理者
担当者 アクセスキーをDM で送付 アクセスキーをDM で受信 手動で設定 設定完了 管理者 担当者 5
攻撃者の試行内容 「悪意のある第三者は何をしようとしたのか?」 試行された攻撃 CreateUser - 新規ユーザー作成 CreateRole - 新規ロール作成 AttachUserPolicy
- ポリシー付与 など 攻撃の狙い 権限昇格による管理者権限奪取 他のAWS サービスへの横展開 攻撃種別 試行された操作 結果 権限昇格 CreateUser, CreateRole 失敗 ポリシー変更 AttachUserPolicy 失敗 6
被害状況の分析 「なぜ深刻な被害を免れたのか?」 調査結果 漏洩経路の特定には至らず 数日おきに3 回漏洩を検知 攻撃者の継続的な試行 ただし、被害は全くなし 被害軽減要因 最小権限の原則を遵守
CloudSearch 参照権限のみ 全ての権限昇格が失敗 7
最小権限の原則で救われた 「もし管理者権限を付与していたら… 」 現実(最小権限) CloudSearch 参照のみ 権限昇格 → 失敗 被害は軽微
仮想シナリオ(管理者権限) EC2 インスタンス作成 機密データアクセス 高額請求の発生 他システムへの侵入 教訓: 「面倒だから管理者権限で… 」は命取り 8
提案した改善策 即座の対応 認証情報のローテーション チャットでの認証情報の送付の廃止 運用改善 自動ローテーション機能の実装 Inspector などの脆弱性管理ツールを活 用した脆弱性対策 長期的な対策
アプリケーションの改善 IAM ロールを使用した一時的な認 証情報の使用 Secret Manger を使用した安全な認 証情報の管理 9
まとめ 最小権限の原則は「面倒な制約」ではなく「最後の砦」 1. 権限の棚卸し 現在のIAM ユーザーの権限を確認 「本当に必要な権限だけ」に絞る 2. アクセスキーの運用見直し 90
日以上使用されているキーをチェック 可能な限りIAM ロールへの移行 10
ご清聴ありがとうございました! このスライド(画像以外)は Claude Code を活用したバイブコーディングにより制作しました 11
khiraki
tammyeverts
aleyda
chrislema
asonas
thirion
jonoalderson
tonyrice
mfonobong
techseoconnect
davidcarrasco
inesmontani
matthewcrist
