Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumik...
Search
SHIFT EVOLVE
PRO
March 01, 2025
Technology
1
310
AWS上にあるWEBサイトの改ざんリスクを下げることができた / 20250301 Kumiko Henmi
2025/3/1 JAWS DAYS 2025
https://jawsdays2025.jaws-ug.jp/
株式会社SHIFT
辺見 久美子
SHIFT EVOLVE
PRO
March 01, 2025
Tweet
Share
More Decks by SHIFT EVOLVE
See All by SHIFT EVOLVE
スクラムマスターの成果物はよいチーム ~人事とアジャイルの共通点~ / 20250916 Masato Mishina
shift_evolve
PRO
2
75
開発現場での実践的なUXの考え方・構築のアプローチと UXコンサルタントのアドバイス! / 20250912 Suguru Ishii
shift_evolve
PRO
2
17
AIでテストケースを作成するジレンマ / 20250912 Suguru Ishii
shift_evolve
PRO
2
19
開発・テストの経験って「UX評価」に役立つの? / 20250912 Mayumi Takahashi
shift_evolve
PRO
2
13
努力家なスクラムマスターが陥る「傍観者」という罠と乗り越えた先に信頼があった話 / 20250830 Takahiro Sasaki
shift_evolve
PRO
2
170
キャリアを支え組織力を高める「多層型ふりかえり」 / 20250821 Kazuki Mori
shift_evolve
PRO
2
350
製造業からパッケージ製品まで幅広く適用!5分でわかる「生成AIを利用したテストシナリオ生成」 / 20250725 Suguru Ishii
shift_evolve
PRO
0
290
教えます!AWSにおけるセキュリティ対策の可視化の方法 やってみた!!AWSにおけるセキュリティ対策の可視化の実践 / 20250423 Hironobu Otaki
shift_evolve
PRO
2
240
SHIFTのDNAとAIの融合:普及から活用へのパラダイムシフト / 20250423 Eiichi Hayashi
shift_evolve
PRO
1
17
Other Decks in Technology
See All in Technology
【実演版】カンファレンス登壇者・スタッフにこそ知ってほしいマイクの使い方 / 大吉祥寺.pm 2025
arthur1
1
890
機械学習を扱うプラットフォーム開発と運用事例
lycorptech_jp
PRO
0
550
ハードウェアとソフトウェアをつなぐ全てを内製している企業の E2E テストの作り方 / How to create E2E tests for a company that builds everything connecting hardware and software in-house
bitkey
PRO
1
160
要件定義・デザインフェーズでもAIを活用して、コミュニケーションの密度を高める
kazukihayase
0
120
まずはマネコンでちゃちゃっと作ってから、それをCDKにしてみよか。
yamada_r
2
120
職種の壁を溶かして開発サイクルを高速に回す~情報透明性と職種越境から考えるAIフレンドリーな職種間連携~
daitasu
0
170
Automating Web Accessibility Testing with AI Agents
maminami373
0
1.3k
これでもう迷わない!Jetpack Composeの書き方実践ガイド
zozotech
PRO
0
1k
Agile PBL at New Grads Trainings
kawaguti
PRO
1
440
20250912_RPALT_データを集める→とっ散らかる問題_Obsidian紹介
ratsbane666
0
100
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
250
Webアプリケーションにオブザーバビリティを実装するRust入門ガイド
nwiizo
7
860
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Embracing the Ebb and Flow
colly
87
4.8k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
358
30k
Building Adaptive Systems
keathley
43
2.7k
Designing Experiences People Love
moore
142
24k
Code Review Best Practice
trishagee
71
19k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.1k
BBQ
matthewcrist
89
9.8k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Producing Creativity
orderedlist
PRO
347
40k
Building Better People: How to give real-time feedback that sticks.
wjessup
368
19k
Transcript
AWS上にあるWEBサイトの 改ざんリスクを下げることができた 株式会社SHIFT 辺見 久美子 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
自己紹介 株式会社SHIFT 辺見 久美子 元々はアプリケーションエンジニアです。 アプリケーション開発しか知らない私に、 AWSからインフラの楽しさを教えてもらった人間の1人です。 AWSを触るようになり、OSSをEC2上に導入するお仕事を主にしてきました。 お仕事ではSIEMに関わっています。 1年前から趣味でCTFをしています。
CTFの得意分野はWEB/SQLです。 弊社へ そろそろNetflixのようなWEBアプリケーションのインフラ設計をやりたいです。
AWS上にあるWEBサイトの 改ざんリスクを下げることができた !
わたしには 伝えたいこと があります
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
以上
にしたくない、、 せっかく出れたんだから 誰かの心に残りたい!
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。
ネットワークACLは緩い制限で セキュリティグループのアウトバンド通信を デフォルト(全部通す)のままにしている。 これ、実はもったいないです! 攻撃者の視点から試してみます!
その前に…
サーバーの乗っ取り方法には大きく分けて、下記の2つがあります。 1.サーバーの管理者権限奪取 SSH,RDPからの侵入のことです。 2.外部と通信を行うファイルのアップロード アウトバンド通信を使って侵入する方法です。 ※WEBサイトの乗っ取りにはさらに方法があります。
WEBサーバー Public subnet VPC AWS Cloud 常時通信 攻撃者のサーバー Tera Term
※【外部と通信を行うコマンド実行】 送信先のIPアドレス+ポート番号を指定します。 今回は2番のファイルのアップロードを使い、外部と通信を発生させる視点から、WEBサイトの乗っ 取りを行うプログラムを使います。 1.サーバーの管理者権限奪取 2.外部と通信を行うファイルのアップロード
動画 ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f
プログラミングとネットワークがわかると サーバーの乗っ取りのができちゃうんだ、、 なんとか防ぐ方法は、、 NACLとセキュリティグループがあります! 大丈夫!
紹介したプログラムを使い、NACLとセキュリティグループの動作を試してみます。 以下のケースを実行してみました。 ※WEBサイトの通信ポートは「443」です。 No. NACL / 許可 NACL / 拒否
SG / インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません No.1~3の結果がどうなるか予想がつきますか? ※もちろんすべてWEBサイトにはアクセスできます。 インフラエンジニアの方であればおわかりでしたね(´;ω;`) さすがです。
No.1結果 • 内部からの通信は失敗します。 • VPCフローログには、「 REJECT 」というログが残ります。 No. NACL /
許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 1 443 許可以外すべて すべて すべて 内部からの通信を通しません WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー NACLが守ります
WEBサーバー Security Group NACL AWS Cloud アウトバンドを 許可しているので、 Security Group
は守ってくれません でした! 攻撃者のサーバー No.2結果 • 内部からの通信は成功します。 • 情報の外部送信、WEBサイトの改ざんが成功します。 • VPCフローログには、「 REJECT 」というログが残りません。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します
WEBサーバー Security Group NACL AWS Cloud 攻撃者のサーバー No.3結果 • 内部からの通信は失敗します。
• VPCフローログには、「 REJECT 」というログが残ります。 No. NACL / 許可 NACL / 拒否 SG / インバウンド SG / アウトバウンド 結果 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません Security Group が守ります
結果まとめ No. NACL / 許可 NACL / 拒否 SG /
インバウンド SG / アウトバウンド 結果 - すべて 許可以外すべて すべて すべて 内部からの通信を通します 1 443 許可以外すべて すべて すべて 内部からの通信を通しません 2 すべて 許可以外すべて 443 すべて 内部からの通信を通します 3 すべて 許可以外すべて 443 なし 内部からの通信を通しません
OSSの中には、ポート番号指定でアウトバンド通信を行うも のがあります。 そういったポート番号を狙われた場合、セキュリティグルー プでは防げません。
※現実はケースバイケースです。 セキュリティグループに厳しい制限をつけて ネットワークACLも厳しい制限をつけて リスクが軽減されました。
今日の話に興味を持ってくださった方へ 22 ブースにもぜひ お立ち寄りください! 資料の公開やイベント告知は X で配信中! カジュアル面談も受け付け中! https://x.com/shiftevolve_jp
ネットワークACLは ステートレス セキュリティグループは ステートフル という事です。
ハッシュタグ:#jawsdays2025 #jawsug #jawsdays2025_f 以上
None
shift_evolve
.jpeg){kind=avatar}
arthur1
lycorptech_jp
bitkey
kazukihayase
yamada_r
daitasu
maminami373
zozotech
kawaguti
ratsbane666
pandayumi
nwiizo
tammyeverts
addyosmani
colly
bermonpainter
keathley
moore
trishagee
zakiyama
matthewcrist
chrisshort
orderedlist
wjessup
