AWSにおけるサイバー攻撃の傾向と具体的な対策

Transcript

1. AWSにおけるサイバー攻撃の傾向と具体的な対策 2025年3月18日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼

   登壇者：大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 500以上のAWSアカウントに統制を効かせる ◼ AWS認定資格 ◼ 書籍執筆：AWS の薄い本の合本 Vol.01 自己紹介

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します サイバー攻撃の傾向

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃にどう向き合うか

   サイバー攻撃の傾向 ◼ パブリッククラウドの利用増加に伴い、情報漏洩などのインシデントが増加傾向にある。 ◼ サイバー攻撃は完全に防げないことを前提に対策をしていく必要がある。 ◼ サイバー攻撃の例を挙げて、被害を最小限に抑えるための対策、起きた時の対策を考える。 順位 情報セキュリティ10大脅威 1 ランサムウェアによる被害（前年1位） 2 サプライチェーンの弱点を悪用した攻撃（前年2位） 3 内部不正による情報漏えい等の被害（前年4位 ） 4 標的型攻撃による機密情報の窃取（前年3位 ） 5 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（前年6位 ） 6 不注意による情報漏えい等の被害（前年9位 ） 7 脆弱性対策情報の公開に伴う悪用増加（前年8位 ） 8 ビジネスメール詐欺による金銭被害（前年7位 ） 9 テレワーク等のニューノーマルな働き方を狙った攻撃（前年5位 ） 10 犯罪のビジネス化（アンダーグラウンドサービス）（前年10位） ※IPA「情報セキュリティ10大脅威 2024 ：組織編」を元に作成 https://www.ipa.go.jp/security/10threats/10threats2024.html

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 認証情報漏えいへの対策

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

   EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃 ⚫ Web アプリケーションの脆弱性を利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法 Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント 169.254.169.254 攻撃者 http://www.test.com/test.php?site=169.254.169.254/latest/ meta-data/iam/security-credentials/

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

   EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃 ⚫ Web アプリケーションの脆弱性を利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法 攻撃者 test-XX-role Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント 169.254.169.254

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

   EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃 ⚫ Web アプリケーションの脆弱性を利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法 Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント 攻撃者 http://www.test.com/test.php?site=169.254.169.254/latest/ meta-data/iam/security-credentials/test-XX-role

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

   EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃 ⚫ Web アプリケーションの脆弱性を利用して、外部に公開されていないサーバーに対してリクエストを送信する攻撃手法 Amazon Elastic Compute Cloud (Amazon EC2) IMDSのエンドポイント 攻撃者 { "Code": "Success", "LastUpdated": "20XX-XX-XXT12:34:56Z", "Type": "AWS-HMAC", "AccessKeyId": “XXXXXXXXXX", "SecretAccessKey": " XXXXXXXXXXXXXXXXXXXX ", "Token": " XXXXXXXXXXXXXXXXXXXX ", "Expiration": "20XX-XX-XXT18:34:56Z" }

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

    EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策①：IMDSv2への移行 ⚫ IMDSv2ではすべてのリクエストに対して事前に取得したセッショントークンが必要 ➢ SSRF攻撃だけではメタデータにアクセスしにくい ➢ 既存環境への影響は最優先で考える AWSマネジメントコンソール

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

    EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策①：IMDSv2への移行 ⚫ 宣言型ポリシーで組織全体でIMDSv2強制する Root OU System-AA OU アカウント_01 アカウント_02 マネジメントアカウント Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) System-BB OU アカウント_03 アカウント_04 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します Amazon

    EC2 認証情報の漏洩 不注意による情報漏えい等の被害への対策 ◼ SSRF攻撃の対策②：WAFの設定を最適化する ⚫ IMDSv2に移行しただけでは、Gopherプロトコルを利用したリクエストを細かく制御したSSRF攻撃を防げない ➢ アプリケーションに脆弱性がある場合や誤設定がある場合に限る ➢ WAFで「http://169.254.169.254/」が含まれているリクエストをブロックする設定を加えることが重要 ➢ カスタムルールでQuery stringを設定する方法 ➢ マネージドルール(AWSManagedRulesCommonRuleSet)で設定する方法

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 脆弱性対策情報の公開に伴う悪用への対策

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 基本的なWebアプリケーション基盤の構成例

    脆弱性対策情報の公開に伴う悪用への対策 Virtual private cloud (VPC) AWS Cloud Public subnet Private subnet NAT gateway Amazon CloudFront Amazon S3 Private subnet Amazon Aurora Public subnet Private subnet Private subnet Amazon Aurora Application Load Balancer Amazon EFS AWS Systems Manager Session Manager

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します コンピューティングリソースの脆弱性対策

    脆弱性対策情報の公開に伴う悪用への対策 ◼ イメージの脆弱性対策 ⚫ ECSで使用するコンテナイメージには、古いパッケージやライブラリの脆弱性が含まれている可能性がある ➢ Amazon ECRのイメージスキャン機能 を有効化し、定期的に脆弱性チェックを実施する必要がある ⚫ Inspectorによるスキャンはパイプラインにも組み込むことができる • CodePipelineによるスキャンアクションで選択できる Amazon Inspector Amazon Elastic Container Registry (Amazon ECR) Image 開発者

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します コンピューティングリソースの脆弱性対策

    脆弱性対策情報の公開に伴う悪用への対策 ◼ イメージの脆弱性対策 ⚫ 拡張スキャン：ECR + Inspector ⚫ 拡張スキャンを選択することで幅広い範囲をスキャンしてくれる ➢ コスト増加を受容するのであれば、拡張スキャンがおすすめ 基本スキャン 拡張スキャン スキャン範囲 OSパッケージ OSパッケージ プログラミング言語パッケージ スキャンタイミング プッシュ時のスキャン 手動のスキャン プッシュ時のスキャン 継続的なスキャン 検出結果の確認方法 ECRのマネジメントコンソール AWS CLI AWS SDK ECRのマネジメントコンソール AWS CLI AWS SDK Inspectorのマネジメントコンソール Security Hubのマネジメントコンソール 脆弱性評価 CVSSv2 CVSSv2 CVSSv3 脆弱性スキャンプロバイダー Clair Inspector + Snyk

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃による被害を最小限に抑えるために

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 組織設計について

    攻撃による被害を最小限に抑えるために ◼ 単一アカウントでシステムを管理することの問題点 ⚫ 複数環境のAWSリソースが単一アカウントにあることでリソースの追跡性が損なわれる ⚫ 誤ったリソースの操作が発生する可能性がある ⚫ クォータの制限に引っ掛かりやすくなる ⚫ 攻撃の影響が広がりやすい AWS account Virtual private cloud (VPC) 開発環境 Virtual private cloud (VPC) 検証環境 Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Compute Cloud (Amazon EC2)

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 組織設計について

    攻撃による被害を最小限に抑えるために ◼ マルチアカウントでシステムを管理することの重要性 ⚫ リソースの追跡性が容易になる ⚫ 誤ったリソースの操作が発生する可能性を抑えられる ⚫ クォータの制限に引っ掛かりにくい ⚫ 攻撃の影響を制限しやすい ⚫ コスト配分の容易性を強化する AWS account Virtual private cloud (VPC) 開発環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 検証環境 Amazon Elastic Compute Cloud (Amazon EC2) AWS account Virtual private cloud (VPC) 本番環境 Amazon Elastic Compute Cloud (Amazon EC2)

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 組織設計について

    攻撃による被害を最小限に抑えるために ◼ マルチアカウントをどのように管理していくのか ⚫ AWS Organizationsを活用してOUごとに部署、システム単位で管理していく必要がある ⚫ Control Towerを導入することでより統制を強化しやすくなる ➢ メンバーアカウントに大きな影響が出るような統制を効かせてはいけない System A OU Account Account Account System B OU Account Account Account System C OU Account Account Account Management account

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ケースごとに考える組織外からのアクセス制御

    攻撃による被害を最小限に抑えるために ◼ RCP：IAMにおける組織外からのアクセス制御 ⚫ 意図しない組織外からのスイッチロールを防ぐ ⚫ 単に導入すればいいのではなく、意図した組織外からのスイッチロールに影響を与えることを考慮する ➢ ポリシーで適用範囲を制限する ➢ 適用するOU、アカウントを慎重に精査する ➢ ポリシーで特定のIAMロール、アカウントからのアクセスのみ許可する設定する Organizational unit AWS Organizations Organizational unit Account RCP Role Account Role Role (External Organizations)

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ケースごとに考える組織外からのアクセス制御

    攻撃による被害を最小限に抑えるために ◼ RCP：S3における組織外からのアクセス制御 ⚫ SSE-Cで暗号化されたオブジェクトが上書きされ、再暗号化される攻撃が増えている ➢ SSE-Cを使っていなくても、今後使用可能性があることを考えて予防的に適用しておく Organizational unit AWS Organizations Organizational unit Account RCP Account Role Role (External Organizations) Amazon Simple Storage Service (Amazon S3)

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃された後のレスポンスを考える

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃に気づくために

    攻撃された後のレスポンスを考える ◼ 理想の運用を実現するためにセキュリティ通知方法を選定する ⚫ メール通知：Slackで障害起きても通知を受信できるようにするため ⚫ Slack通知：セキュリティ通知のスレッドに返信する形で検知への改善方法を議論できる ⚫ Backlog通知：チケット化してセキュリティ検知に対応できる ➢「なぜ、その通知方法を選んだのか」が重要になる AWS Lambda Amazon Bedrock AWS Security Hub メール通知 Slack通知 Backlog通知 Amazon EventBridge

25. 24 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃の影響範囲を調査する

    攻撃された後のレスポンスを考える ◼ Amazon Detectiveで攻撃の影響範囲を調査する ⚫ CloudTrail、VPCフローログなどをもと調査が可能になる ➢ ホストレベルのログはDetectiveのデータソースとならないので、別の手段で調査できるようにしておく Security OU Management account Audit Amazon Detective System OU Member 01 Amazon Detective Member 02 Amazon Detective

26. 25 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します 攻撃の影響範囲を調査する

    攻撃された後のレスポンスを考える ◼ ホストレベルのログをいつでも調査できるようにしておく ⚫ Amazon Athenaでクエリのみでもよいが、Amazon QuickSightを使用するとログのグラフ化による定期的なセキュリティ分析に も活用することができる ⚫ セキュリティインシデント時もグラフ化によって影響調査をサポートしてくれる AWS account Virtual private cloud (VPC) Amazon Elastic Compute Cloud (Amazon EC2) Amazon CloudWatch Logs Amazon Data Firehose Amazon Simple Storage Service (Amazon S3) Amazon Athena Amazon QuickSight

27. 26 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します まとめ

28. 27 Copyright（C） NRI Netcom, Ltd. All rights reserved. 転載、複製、改変等、および許諾のない二次利用を禁止します ◼

    セキュリティ対策を考えるうえで、どんな攻撃が増えているのか知る必要がある ◼ 脆弱性のスキャンは必ず実行すべき ◼ 攻撃の影響範囲を最小限に抑えるために環境の分離、アクセス制御が必要になる ◼ インシデントが発生した際には調査に使用するデータソースが重要になる ⚫ どのサービスがどのデータをもとに検知をしているのか ⚫ 準備しているコストの範囲で徹底的な分析をすべき まとめ
29. None