Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
IAMアクセスキー漏洩について
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
平木佳介
July 16, 2025
64
0
Share
IAMアクセスキー漏洩について
Security.any #5 今だから言えるセキュリティLTのLT資料です
平木佳介
July 16, 2025
More Decks by 平木佳介
See All by 平木佳介
安全にAIを活用してセキュリティ運用を効率化した実践談 ~JAWS DAYS 2026
khiraki
0
62
セキュリティ運用の可能性を感じた AWS Well-Architected Security Assessment Tool MCP Server をご紹介します
khiraki
1
200
ブログ用スライド- Gemini版Slide
khiraki
0
950
ブログ用スライド- ChatGPT版Slide
khiraki
0
950
AWS Organizationsの組織ポリシー 使ってますか?~ Toranomon Tech Hub 第5回 ~
khiraki
0
160
AWSにおける OWASP Non-Human Identities (NHI) Top10 対策を考える
khiraki
0
130
AWS Community Buildersを布教したい件について
khiraki
0
29
Organizations のポリシー使いこなしてますか? ~最新の Security Hub ポリシーを添えて~
khiraki
0
23
クラウド食堂 #2 ~AWSネタでLT会~ 登壇ネタのためにAWSの運用で地味に使えそうな ブラウザ拡張機能を作ってみた
khiraki
0
720
Featured
See All Featured
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
210
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
1
540
Code Reviewing Like a Champion
maltzj
528
40k
A designer walks into a library…
pauljervisheath
211
24k
Rebuilding a faster, lazier Slack
samanthasiow
85
9.5k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
250
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Site-Speed That Sticks
csswizardry
13
1.2k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
340
Unlocking the hidden potential of vector embeddings in international SEO
frankvandijk
0
790
Utilizing Notion as your number one productivity tool
mfonobong
4
300
The Invisible Side of Design
smashingmag
302
52k
Transcript
IAM アクセスキー漏洩について 実例から学んだこと 平木佳介(Hiraki Keisuke ) 1
自己紹介 平木佳介(Hiraki Keisuke ) 所属: 株式会社サイバーセキュリティクラウド ロール: テクニカルアカウントマネージャー 取扱製品: CloudFastener
専門分野: クラウド環境におけるセキュリティやガバナンス クラウド利用ガイドラインの策定 認定 2025 Japan All AWS Certifications Engineers AWS Community Builders - Cloud Operations 2
「アクセスキー漏洩が複数回発生している お客様の相談に乗ってくれませんか?」 ある日、営業さんから相談依頼が来たため同席 3
事案の詳細 何が起こったのか? システム構成 CloudSearch を使用した検索機能 外部公開 Web アプリケーション アクセスキーによる認証 発生状況
AWS からの漏洩通知 数日おきに繰り返し発生 通知の度にキー変更 技術的制約 IAM ロール利用困難 Secret Manager 呼び出し困難 お客様の状況 「どうしたらいいか分からない」 「毎回キーを変更するのが限界」 4
当時の運用フロー アプリケーション チャットアプリ アプリケーション チャットアプリ 🚨 平文で送信 🚨 人力作業 管理者
担当者 アクセスキーをDM で送付 アクセスキーをDM で受信 手動で設定 設定完了 管理者 担当者 5
攻撃者の試行内容 「悪意のある第三者は何をしようとしたのか?」 試行された攻撃 CreateUser - 新規ユーザー作成 CreateRole - 新規ロール作成 AttachUserPolicy
- ポリシー付与 など 攻撃の狙い 権限昇格による管理者権限奪取 他のAWS サービスへの横展開 攻撃種別 試行された操作 結果 権限昇格 CreateUser, CreateRole 失敗 ポリシー変更 AttachUserPolicy 失敗 6
被害状況の分析 「なぜ深刻な被害を免れたのか?」 調査結果 漏洩経路の特定には至らず 数日おきに3 回漏洩を検知 攻撃者の継続的な試行 ただし、被害は全くなし 被害軽減要因 最小権限の原則を遵守
CloudSearch 参照権限のみ 全ての権限昇格が失敗 7
最小権限の原則で救われた 「もし管理者権限を付与していたら… 」 現実(最小権限) CloudSearch 参照のみ 権限昇格 → 失敗 被害は軽微
仮想シナリオ(管理者権限) EC2 インスタンス作成 機密データアクセス 高額請求の発生 他システムへの侵入 教訓: 「面倒だから管理者権限で… 」は命取り 8
提案した改善策 即座の対応 認証情報のローテーション チャットでの認証情報の送付の廃止 運用改善 自動ローテーション機能の実装 Inspector などの脆弱性管理ツールを活 用した脆弱性対策 長期的な対策
アプリケーションの改善 IAM ロールを使用した一時的な認 証情報の使用 Secret Manger を使用した安全な認 証情報の管理 9
まとめ 最小権限の原則は「面倒な制約」ではなく「最後の砦」 1. 権限の棚卸し 現在のIAM ユーザーの権限を確認 「本当に必要な権限だけ」に絞る 2. アクセスキーの運用見直し 90
日以上使用されているキーをチェック 可能な限りIAM ロールへの移行 10
ご清聴ありがとうございました! このスライド(画像以外)は Claude Code を活用したバイブコーディングにより制作しました 11
khiraki
baasie
inesmontani
maltzj
pauljervisheath
samanthasiow
minecr
chriscoyier
csswizardry
frankvandijk
mfonobong
smashingmag
