Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
Search
Takuya Yonezawa
November 08, 2025
Technology
800
4
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
こんな時代だからこそ! 想定しておきたい アクセスキー漏洩後のムーブ
Takuya Yonezawa
November 08, 2025
More Decks by Takuya Yonezawa
See All by Takuya Yonezawa
20260516_SecJAWS_Days
takuyay0ne
4
710
20260422_Midosuji_Tech
takuyay0ne
2
71
脱 雰囲気実装! AgentCoreを良い感じに WEBアプリケーションに組み込むために
takuyay0ne
3
550
20260228_JAWS_Beginner_Kansai
takuyay0ne
5
700
20260204_Midosuji_Tech
takuyay0ne
1
230
20260129_CB_Kansai
takuyay0ne
1
370
20260126_JAWS_Osaka
takuyay0ne
1
60
セキュリティは全員参加!_JAWSのイベントサイトで脅威モデリングを学んでみよう!
takuyay0ne
0
220
20250920_ServerlessDays
takuyay0ne
9
4.4k
Other Decks in Technology
See All in Technology
【セミナー資料】Claude Code をセキュアに使うための考え方と設定の勘どころ / Claude Code Webinar 20260616
masahirokawahara
2
420
Lightning近況報告
kozy4324
0
200
Android の公式 Skill / Android skills
yanzm
0
160
[AWS Summit Japan 2026]迷っているあなたへ_小さな一歩が、やがて自分を助けてくれる
sh_fk2
1
170
日本 Fintech 未来予測レポート 2027〜2028年(手動編集版)
8maki
1
2.5k
Kubernetesにおける学習基盤とLLMOpsの概要
ry
1
320
AIのReact習熟度を測る
uhyo
2
650
人材育成分科会.pdf
_awache
4
300
いまさら聞けない「仕様駆動開発入門」 〜AI活用時代の開発プロセスを考える〜
findy_eventslides
2
160
[チョークトーク資料]AWS DevOps Agent を使いこなす / AWS Dev Ops Agent Chalk Talk AWS Summit Japan 2026
kinunori
3
580
Agent Skills設計で柔軟性と硬さのバランスが難しい話
nassy20
0
150
2026TECHFRESH畢業分享會 - AI 時代的人生存檔點
line_developers_tw
PRO
0
1.3k
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
55
8.2k
Technical Leadership for Architectural Decision Making
baasie
3
420
The untapped power of vector embeddings
frankvandijk
2
1.8k
Designing for humans not robots
tammielis
254
26k
Building Flexible Design Systems
yeseniaperezcruz
330
40k
New Earth Scene 8
popppiees
3
2.3k
Visual Storytelling: How to be a Superhuman Communicator
reverentgeek
2
560
XXLCSS - How to scale CSS and keep your sanity
sugarenia
250
1.3M
The agentic SEO stack - context over prompts
schlessera
0
820
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.8k
Site-Speed That Sticks
csswizardry
13
1.2k
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.4k
Transcript
1 © 2025 Japan Digital Design, Inc. Takuya Yonezawa 2025.11.08
〜 こんな時代だからこそ! 〜 想定しておきたい アクセスキー漏洩後のムーブ Security JAWS ~IAM Special~
2 © 2025 Japan Digital Design, Inc. お断り 本日お話する内容について 「妙にリアリティがあるな。。??」
と思っても勘繰ってはいけません!
3 © 2025 Japan Digital Design, Inc. はじめに IAMユーザーとかは使わずにIdPを使ってくれよな! という気概が垣間見える
(アクセスキーはIAMユーザーに紐づく) https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-authentication-user.html
4 © 2025 Japan Digital Design, Inc. はじめに とはいえ、アクセスキーを使わざるを得ない ワークロード/システムもあることでしょう
そんな皆様のアクセスキーの運用について 見直すキッカケになれば幸いです
5 © 2025 Japan Digital Design, Inc. 米澤 拓也 Software
Engineer Technology & Development Div. and Corporate Culture室 プロフィール 前職ではCCoE、現職ではSoftware Engineer。 フロント/バックエンドの実装からインフラ構築など何でもやってます 最近はReactを書いてるフロントエンド側。 証券系→銀行系 と 金融×IT なキャリアを歩んでいます 生息地:大阪 & 奈良、 趣味:キックボクシング/総合格闘技 --- Fin-JAWSの運営、AWS Community Builder (Serverless, 2023〜) JAWS DAYS 2024/2025、JAWS PANKRATION 2024運営 takuya_y0ne
6 © 2025 Japan Digital Design, Inc. 01 アクセスキーはどこから漏れるのか?
7 © 2025 Japan Digital Design, Inc. ぱっと思いつく経路 うっかり公開リポジトリにPush 開発者
EC2 Instance Metadata 攻撃者 htttps://hogehoge.jp/?url=http://169.254.169.254/latest/meta-data/iam/security-credentials 脆弱性のあるEC2サーバからSSRFなどを 利用してMetadataからクレデンシャル奪取 マルウェア感染やサプライチェーン攻撃経由で ローカルのアクセスキーを外に持ち出される 端末
8 © 2025 Japan Digital Design, Inc. ぱっと思いつく経路 うっかり公開リポジトリにPush 開発者
EC2 Instance Metadata 攻撃者 htttps://hogehoge.jp/?url=http://169.254.169.254/latest/meta-data/iam/security-credentials 脆弱性のあるEC2サーバからSSRFなどを 利用してMetadataからクレデンシャル奪取 マルウェア感染やサプライチェーン攻撃経由で ローカルのアクセスキーを外に持ち出される 端末
9 © 2025 Japan Digital Design, Inc. 最近震えたやつ https://www.wiz.io/blog/s1ngularity-supply-chain-attack 端末内のGenAI
CLIを起動して 端末内のクレデンシャルを自動探索→インターネット公開
10 © 2025 Japan Digital Design, Inc. 何が言いたいかというと。。 どこにアクセスキーを置こうが、 漏洩する可能性があるので、
ちゃんと漏洩後のムーブを想定しておきましょうね という話
11 © 2025 Japan Digital Design, Inc. 02 アクセスキーが奪取されたら何が起こるか
12 © 2025 Japan Digital Design, Inc. ぱっと思いつく事象 Bucket 悪い人
悪い人 EC2 ECS SageMaker 機密情報の漏洩 (からの身代金要求?) クラウド破産 (全リージョンをマイニング工場化) 不正アクセス いっぱい リソース作成
13 © 2025 Japan Digital Design, Inc. Bucket 悪い人 悪い人
EC2 ECS SageMaker 機密情報の漏洩 (からの身代金要求?) クラウド破産 (全リージョンをマイニング工場化) 不正アクセス いっぱい リソース作成 これらは"最終的に"表層化しているだけで、 裏ではいろんな仕込みをしている ぱっと思いつく事象
14 © 2025 Japan Digital Design, Inc. 03 攻撃者の気持ちになってみよう
15 © 2025 Japan Digital Design, Inc. 攻撃者の戦術 〜MITRE ATT&CK
より〜 https://attack.mitre.org/tactics/enterprise/
16 © 2025 Japan Digital Design, Inc. 悪い人 奪ったアクセスキーで 削除や設定変更
TA0003 – Persistence – 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかく侵入出来るようになった アカウントに長く居座りたい! 正規利用者を締め出しちゃえ! アクセスキー IAMロール IAMユーザー AWS環境に アクセスできない 正規利用者 まずはAWSアカウントに入れるか否か確認
17 © 2025 Japan Digital Design, Inc. TA0003 – Persistence
– 持続性 アカウントに入れなければ AWSサポートフォームに起票(英語) https://support.aws.amazon.com/#/contacts/one-support https://support.aws.amazon.com/#/contacts/one-support 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかく侵入出来るようになった アカウントに長く居座りたい! 正規利用者を締め出しちゃえ!
18 © 2025 Japan Digital Design, Inc. TA0003 – Persistence
– 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかくアクセスキー奪ったのに すぐにアクセスキー無効化されて 塞がれたら困りますよね?? 悪い人1 奪ったアクセスキーで 新規作成/変更 アクセスキー IAMロール 悪い人2 悪い人1 奪ったアクセスキーで 新規作成 悪い人2 EC2 ECS SSHやSSM経由
19 © 2025 Japan Digital Design, Inc. 悪い人1 奪ったアクセスキー (無効化)
悪い人2 悪い人1 奪ったアクセスキー (無効化) 悪い人2 EC2 ECS SSHやSSM経由 継続アクセス可 アクセスキー IAMロール TA0003 – Persistence – 持続性 資格情報などが変更/遮断されても システムや環境へのアクセスを維持する ことが目的 せっかくアクセスキー奪ったのに すぐにアクセスキー無効化されて 塞がれたら困りますよね??
20 © 2025 Japan Digital Design, Inc. 何が言いたいかというと。。 漏洩したアクセスキーをローテ/無効化しても バックドアを仕込まれて継続アクセスされてしまう
アクセスキーを潰したから被害拡大は抑えた! とは思ってはいけない
21 © 2025 Japan Digital Design, Inc. 04 止血処理
22 © 2025 Japan Digital Design, Inc. まずは 大前提として。。 異常に気付ける仕組み/体制はありますか?
ex.) GuardDuty, Cost Anomaly Detection, Budgets, Abuse Report, etc...
23 © 2025 Japan Digital Design, Inc. 止血処理 漏洩したアクセスキー無効化 アクセスキー
- アクセスキーの棚卸ししてますか? - 必要以上の権限を与えていませんか? - 別アカウントにSwitch Roleできる 設定になっていませんか?(2次被害) CloudTrail調査 CloudTrail CloudTrail Lake Amazon Q - 特定のアクセスキーのAPI発行履歴を すぐに追跡できる体制はありますか? - 調査方法は確立されていますか?
24 © 2025 Japan Digital Design, Inc. 止血処理 コンピュートリソース停止/削除 IAMユーザー/ロール/アクセスキー
確認・修正 アクセスキー IAMロール IAMユーザー - IAM関連リソースは棚卸ししてますか? - 妙な外部Principalが設定されていませんか? - IAM認証情報レポート活用してますか? - GuardDutyなどのアラート見てますか? Region Region Region Region - リソースの棚卸ししてますか? - 真に必要なリソース把握してますか? - オプトインされているリージョンは すべてチェックしましたか? - AdministratorAccess付いてないですか?
25 © 2025 Japan Digital Design, Inc. 05 まとめ
26 © 2025 Japan Digital Design, Inc. まとめ 攻撃者側も 様々な環境に迅速に侵入・影響拡大できるよう
攻撃テンプレートを準備していると思われる 適切・迅速に対処できるよう、 アカウントの"正常な状態"の把握や 調査方法のシミュレーションをやっておこう!
Thank you. 27 © 2025 Japan Digital Design, Inc.
28 © 2025 Japan Digital Design, Inc. Appendix. 先日このような記事を書きました https://qiita.com/takuyayone/items/09d6e3efc0c720f620c7
29 © 2025 Japan Digital Design, Inc. Appendix. 攻撃者の具体的な行動パターンは DAYS
2021の上記資料がとても参考になる https://jawsdays2021.jaws-ug.jp/timetable/track-b-1000/
takuyay0ne
masahirokawahara
kozy4324
yanzm
sh_fk2
8maki
ry
uhyo
_awache
findy_eventslides
kinunori
nassy20
line_developers_tw
morganepeng
baasie
frankvandijk
tammielis
yeseniaperezcruz
popppiees
reverentgeek
sugarenia
schlessera
inesmontani
csswizardry
joshbly
