やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

第14回TKTKセキュリティ勉強会 ~AWSで発生するセキュリティの問題とその対策を体験してみよう~

こちらのイベントにおじゃましてきました。
https://tktksec.connpass.com/event/330494/
前回から約9か月ぶりの高槻参りです。

講師はAWSセキュリティとうどんの第一人者:tsumetai-udonさん。
2か月前のOWASP KansaiのBoFを聴講させていただいたり、
先月の脅威モデリングナイトで少し会話させていただきました。
最近は関西のコミュニティに力を入れられているそうです。

今回の題材はAWSセキュリティ。
AWSセキュリティの一般的な話の説明の後、AWS上に構築された架空のシステム
AWSの設定にいくつか不備がある)を使ってハンズオンするという内容です。

おうち帰ってレポるまでが勉強会の考えのもと、以下メモです。
攻撃の具体的な方法はさすがにまずいので、当たり障りない範囲で。

座学

  • この講習内容は通常は6~8時間はかかる(AWSそのものに前提がめちゃめちゃあり、本来はその説明も行っている)

  • パブリッククラウドの特性

    • リソースの大規模なスケールが容易である
      • マイニングや攻撃者の踏み台インフラ構築として利用される
    • クラウドのサービスに対する操作は原則API経由
      • 攻撃を自動化することが容易で横展開しやすい
    • デフォルトの環境が決してセキュアではない
      • デフォルトでログは取られているが最小限。脅威検知はデフォルトOFF
  • AWSセキュリティ不備でよく出てくるサービス:IAM, EC2, S3, VPC

  • よくある被害

    • コンソールへの不正ログイン
    • S3の設定不備により、見えたらいけないものが見えてしまう
    • 三者にアクセスキーを取られる
      • 連絡か何かでチャットツールのパブリックチャンネルに貼り付ける
        • 例:ペネトレーションテストを行うと、10年前に発行されたものがチャットツールに張り付けられていて、そのキーが今でも使われていた
      • アクセスキーをコード等に埋め込んだことに気づかずに公開領域に置いてしまう
  • AWS特有の脆弱性とリスクについて

    • いつの間にかAWSから新しいサービスがリリースされてて、今までセキュアだったものが、逆に穴になっていることもある

ハンズオン

  1. S3バケットの誤公開(見えてはいけないファイルが見えてしまった)
    • 脆弱性診断でも見つけてくれるところとそうでないところがある
    • 対処方法
      • 誤公開を検出できるようにする(AWS Config, CSPM)
      • CDN
      • S3 Presigned URL
      • アクセスログの取得(デフォルトでは無効化されている)
      • セキュリティグループ
    • Jenkinsさん・・・
  2. アクセスキーの漏洩
    • 対処方法
      • 長期的に使えるアクセスキーをできるだけ払い出さない
      • 漏洩したアクセスキーの利用に気づけるようにする(GuardDuty)
      • 最小権限の原則
  3. Server-Side Request Forgery(SSRF)
    • 前提知識
    • 対処方法
      • URLのバリデーション
      • IMDS v1の無効化(現在は新規にEC2作ると無効化されてる)
        • 既存分でIMDSv2に対応していないEC2でIMDSv1を無効化するとまずいため、この場合は要検証
      • アクセスキーの漏洩対策
  4. CTF
    • 1~3の内容を使ったCTF

その他(感想含む)

  • 結局はお金
    • AWSにもセキュリティサービスはたくさんあるが、ものによっては少し使っただけで一気にお金を持って行かれることもあるので見積もりが非常にしづらい
    • CDNを使うにしてもお金はかかる
    • 過去にどこかの講演で「この辺りのセキュリティにすら費用をかけられないようなビジネスであれば、そのビジネスモデル自体疑った方がいい」というのを聴いた記憶があるが、まさにそれなんだろうな
  • GuardDutyは過検知や誤検知がちょこちょこあって万能ではない(OWASP Kansaiでもあった分ですね)
  • Control Towerを使うとセキュアな設定が楽にできるけど、なされる設定が厳しすぎて、やりたいことが逆にできなくなることもある
  • ソニーミュージックのルートアクセスキー漏洩事例
  • [ハンズオン中] 人前でIAMポリシー書き換えるなんてめったにないw
  • SSRFのハンズオンありがたすぎた
  • CTF問題をいくつかクリアしたらステッカーもらえました
  • そこかしこにうどんが出てきて、セキュリティだけでなくうどんのことも勉強できておトク
  • 事後アンケートは紙版とWeb版があるが、この勉強会については手書きで出したくなる
  • 安定のおやつ

 

 

<戦利品>
聖闘士星矢 NEXT DIMENSION 冥王神話(16)
おおきく振りかぶって(37)
むねのうちには(2)