Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
こんな時代だからこそ! 想定しておきたいアクセスキー漏洩後のムーブ
Search
Takuya Yonezawa
November 08, 2025
Technology
810
4
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
Takuya Yonezawa
November 08, 2025
More Decks by Takuya Yonezawa
See All by Takuya Yonezawa
20260516_SecJAWS_Days
takuyay0ne
4
790
20260422_Midosuji_Tech
takuyay0ne
2
83
脱 雰囲気実装!AgentCoreを良い感じにWEBアプリケーションに組み込むために
takuyay0ne
3
560
20260228_JAWS_Beginner_Kansai
takuyay0ne
5
710
20260204_Midosuji_Tech
takuyay0ne
1
240
20260129_CB_Kansai
takuyay0ne
1
370
20260126_JAWS_Osaka
takuyay0ne
1
64
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
takuyay0ne
0
220
20250920_ServerlessDays
takuyay0ne
9
4.7k
Other Decks in Technology
See All in Technology
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
110k
DatabricksにおけるMCPソリューション
taka_aki
1
240
AI時代の開発生産性は、個人技からチーム設計へ
moongift
PRO
2
200
CIで使うClaude
iwatatomoya
0
250
Control Planeで育てるBtoB SaaSの認証基盤 - SRE NEXT 2026
pokohide
1
2.3k
AI Driven AI Governance
pict3
0
340
SREとQA 二人三脚で進めるSLO運用/sre-qa-slo
sugitak
0
460
完全自律ロボットを作りたくて、先に開発を自律させた話(ROS Japan UG #63 LT)
rryz09
0
500
シンガポールで登壇してきます
yama3133
0
110
誤解だらけの開発生産性 / Myths and Misconceptions about Developer Productivity
i35_267
1
240
LLMやAIエージェントをソフトウェアに組み込むプラクティス
shibuiwilliam
1
360
AI Agent SaaS を支える自社仮想化基盤への挑戦と実運用 / ai-agent-saas-virtualization
flatt_security
2
3.8k
Featured
See All Featured
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.4k
Statistics for Hackers
jakevdp
799
230k
Leo the Paperboy
mayatellez
8
1.9k
Un-Boring Meetings
codingconduct
0
340
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
260
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
220
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.7k
Producing Creativity
orderedlist
PRO
348
40k
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
630
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
460
Building Applications with DynamoDB
mza
96
7.1k
Building AI with AI
inesmontani
PRO
1
1.1k
Transcript
1 © 2025 Japan Digital Design, Inc. Takuya Yonezawa 2025.11.08
〜 こんな時代だからこそ! 〜 想定しておきたい アクセスキー漏洩後のムーブ Security JAWS ~IAM Special~
2 © 2025 Japan Digital Design, Inc. お断り 本日お話する内容について 「妙にリアリティがあるな。。??」
と思っても勘繰ってはいけません!
3 © 2025 Japan Digital Design, Inc. はじめに IAMユーザーとかは使わずにIdPを使ってくれよな! という気概が垣間見える
(アクセスキーはIAMユーザーに紐づく) https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-authentication-user.html
4 © 2025 Japan Digital Design, Inc. はじめに とはいえ、アクセスキーを使わざるを得ない ワークロード/システムもあることでしょう
そんな皆様のアクセスキーの運用について 見直すキッカケになれば幸いです
5 © 2025 Japan Digital Design, Inc. 米澤 拓也 Software
Engineer Technology & Development Div. and Corporate Culture室 プロフィール 前職ではCCoE、現職ではSoftware Engineer。 フロント/バックエンドの実装からインフラ構築など何でもやってます 最近はReactを書いてるフロントエンド側。 証券系→銀行系 と 金融×IT なキャリアを歩んでいます 生息地:大阪 & 奈良、 趣味:キックボクシング/総合格闘技 --- Fin-JAWSの運営、AWS Community Builder (Serverless, 2023〜) JAWS DAYS 2024/2025、JAWS PANKRATION 2024運営 takuya_y0ne
6 © 2025 Japan Digital Design, Inc. 01 アクセスキーはどこから漏れるのか?
7 © 2025 Japan Digital Design, Inc. ぱっと思いつく経路 うっかり公開リポジトリにPush 開発者
EC2 Instance Metadata 攻撃者 htttps://hogehoge.jp/?url=http://169.254.169.254/latest/meta-data/iam/security-credentials 脆弱性のあるEC2サーバからSSRFなどを 利用してMetadataからクレデンシャル奪取 マルウェア感染やサプライチェーン攻撃経由で ローカルのアクセスキーを外に持ち出される 端末
8 © 2025 Japan Digital Design, Inc. ぱっと思いつく経路 うっかり公開リポジトリにPush 開発者
EC2 Instance Metadata 攻撃者 htttps://hogehoge.jp/?url=http://169.254.169.254/latest/meta-data/iam/security-credentials 脆弱性のあるEC2サーバからSSRFなどを 利用してMetadataからクレデンシャル奪取 マルウェア感染やサプライチェーン攻撃経由で ローカルのアクセスキーを外に持ち出される 端末
9 © 2025 Japan Digital Design, Inc. 最近震えたやつ https://www.wiz.io/blog/s1ngularity-supply-chain-attack 端末内のGenAI
CLIを起動して 端末内のクレデンシャルを自動探索→インターネット公開
10 © 2025 Japan Digital Design, Inc. 何が言いたいかというと。。 どこにアクセスキーを置こうが、 漏洩する可能性があるので、
ちゃんと漏洩後のムーブを想定しておきましょうね という話
11 © 2025 Japan Digital Design, Inc. 02 アクセスキーが奪取されたら何が起こるか
12 © 2025 Japan Digital Design, Inc. ぱっと思いつく事象 Bucket 悪い人
悪い人 EC2 ECS SageMaker 機密情報の漏洩 (からの身代金要求?) クラウド破産 (全リージョンをマイニング工場化) 不正アクセス いっぱい リソース作成
13 © 2025 Japan Digital Design, Inc. Bucket 悪い人 悪い人
EC2 ECS SageMaker 機密情報の漏洩 (からの身代金要求?) クラウド破産 (全リージョンをマイニング工場化) 不正アクセス いっぱい リソース作成 これらは"最終的に"表層化しているだけで、 裏ではいろんな仕込みをしている ぱっと思いつく事象
14 © 2025 Japan Digital Design, Inc. 03 攻撃者の気持ちになってみよう
15 © 2025 Japan Digital Design, Inc. 攻撃者の戦術 〜MITRE ATT&CK
より〜 https://attack.mitre.org/tactics/enterprise/
16 © 2025 Japan Digital Design, Inc. 悪い人 奪ったアクセスキーで 削除や設定変更
TA0003 – Persistence – 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかく侵入出来るようになった アカウントに長く居座りたい! 正規利用者を締め出しちゃえ! アクセスキー IAMロール IAMユーザー AWS環境に アクセスできない 正規利用者 まずはAWSアカウントに入れるか否か確認
17 © 2025 Japan Digital Design, Inc. TA0003 – Persistence
– 持続性 アカウントに入れなければ AWSサポートフォームに起票(英語) https://support.aws.amazon.com/#/contacts/one-support https://support.aws.amazon.com/#/contacts/one-support 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかく侵入出来るようになった アカウントに長く居座りたい! 正規利用者を締め出しちゃえ!
18 © 2025 Japan Digital Design, Inc. TA0003 – Persistence
– 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかくアクセスキー奪ったのに すぐにアクセスキー無効化されて 塞がれたら困りますよね?? 悪い人1 奪ったアクセスキーで 新規作成/変更 アクセスキー IAMロール 悪い人2 悪い人1 奪ったアクセスキーで 新規作成 悪い人2 EC2 ECS SSHやSSM経由
19 © 2025 Japan Digital Design, Inc. 悪い人1 奪ったアクセスキー (無効化)
悪い人2 悪い人1 奪ったアクセスキー (無効化) 悪い人2 EC2 ECS SSHやSSM経由 継続アクセス可 アクセスキー IAMロール TA0003 – Persistence – 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかくアクセスキー奪ったのに すぐにアクセスキー無効化されて 塞がれたら困りますよね??
20 © 2025 Japan Digital Design, Inc. 何が言いたいかというと。。 漏洩したアクセスキーをローテ/無効化しても バックドアを仕込まれて継続アクセスされてしまう
アクセスキーを潰したから被害拡大は抑えた! とは思ってはいけない
21 © 2025 Japan Digital Design, Inc. 04 止血処理
22 © 2025 Japan Digital Design, Inc. まずは 大前提として。。 異常に気付ける仕組み/体制はありますか?
ex.) GuardDuty, Cost Anomaly Detection, Budgets, Abuse Report, etc...
23 © 2025 Japan Digital Design, Inc. 止血処理 漏洩したアクセスキー無効化 アクセスキー
- アクセスキーの棚卸ししてますか? - 必要以上の権限を与えていませんか? - 別アカウントにSwitch Roleできる 設定になっていませんか?(2次被害) CloudTrail調査 CloudTrail CloudTrail Lake Amazon Q - 特定のアクセスキーのAPI発行履歴を すぐに追跡できる体制はありますか? - 調査方法は確立されていますか?
24 © 2025 Japan Digital Design, Inc. 止血処理 コンピュートリソース停止/削除 IAMユーザー/ロール/アクセスキー
確認・修正 アクセスキー IAMロール IAMユーザー - IAM関連リソースは棚卸ししてますか? - 妙な外部Principalが設定されていませんか? - IAM認証情報レポート活用してますか? - GuardDutyなどのアラート見てますか? Region Region Region Region - リソースの棚卸ししてますか? - 真に必要なリソース把握してますか? - オプトインされているリージョンは すべてチェックしましたか? - AdministratorAccess付いてないですか?
25 © 2025 Japan Digital Design, Inc. 05 まとめ
26 © 2025 Japan Digital Design, Inc. まとめ 攻撃者側も 様々な環境に迅速に侵入・影響拡大できるよう
攻撃テンプレートを準備していると思われる 適切・迅速に対処できるよう、 アカウントの"正常な状態"の把握や 調査方法のシミュレーションをやっておこう!
Thank you. 27 © 2025 Japan Digital Design, Inc.
28 © 2025 Japan Digital Design, Inc. Appendix. 先日このような記事を書きました https://qiita.com/takuyayone/items/09d6e3efc0c720f620c7
29 © 2025 Japan Digital Design, Inc. Appendix. 攻撃者の具体的な行動パターンは DAYS
2021の上記資料がとても参考になる https://jawsdays2021.jaws-ug.jp/timetable/track-b-1000/