AWS診断200件の分析から見る頻出指摘と対策

Copyright © GMO Cybersecurity by Ierae, Inc. All Rights Reserved.
1 高度診断部クラウドセキュリティ課小田切祥 2025年5月7日 AWS診断200件の分析から見る頻出指摘と対策

2 自己紹介

3 2025年世界1位 SECCON CTF 13 Finals 2024年国内1位 HTB Business CTF 2024年国内1位 LINE CTF 2024 2023年世界2位 DEF CON 31「CMD+CTRL Cyber Range CTF」 2023年国内1位暗号セキュリティコンテスト「CRYPTO CTF」 2018年世界3位 S4 CTF 制御・工場系システム（OT系）CTF 脆弱性診断・侵入テスト累計実績件超 10,500 会社情報

4 Agenda 1. 分析概要 2. 総合評価別分析 3. リスクレベル別分析 4. まとめ

5 本日話すこと話すこと • 頻出脆弱性について話さないこと • 個々の脆弱性の具体的な対策

7 分析概要 • 対象クラウド: Amazon Web Services • 期間: 2021 年 1 月〜 2025 年 3 月 • 診断数: 213件 • リスクレベル: 緊急、⾼、中、低の4区分

9 総合評価とは診断において最も⾼いリスクレベルに応じてA〜E 評価をつける評価評価基準 A 診断対象に脆弱性が発見されていない状態 B リスクレベル低の脆弱性が存在する C リスクレベル中の脆弱性が存在する D リスクレベル⾼の脆弱性が存在する E リスクレベル緊急の脆弱性が存在する ※診断対象を特定のAWSサービスに限定した診断は除く

10 総合評価とは診断において最も⾼いリスクレベルに応じてA〜E 評価をつける評価件数割合評価基準 A 0 0% 診断対象範囲内に脆弱性が発見されていない状態 B 35 17% リスクレベル低の脆弱性が存在する C 152 71% リスクレベル中の脆弱性が存在する D 22 10% リスクレベル⾼の脆弱性が存在する E 4 2% リスクレベル緊急の脆弱性が存在する ※診断対象を特定のAWSサービスに限定した診断は除く

11 総合評価とは診断において最も⾼いリスクレベルに応じてA〜E 評価をつける評価件数割合評価基準 A 0 0% 診断対象範囲内に脆弱性が発見されていない状態 B 35 17% リスクレベル低の脆弱性が存在する C 152 71% リスクレベル中の脆弱性が存在する D 22 10% リスクレベル⾼の脆弱性が存在する E 4 2% リスクレベル緊急の脆弱性が存在する ※診断対象を特定のAWSサービスに限定した診断は除く脆弱性が存在しない環境は存在しない

12 総合評価とは診断において最も⾼いリスクレベルに応じてA〜E 評価をつける評価件数割合評価基準 A 0 0% 診断対象範囲内に脆弱性が発見されていない状態 B 35 17% リスクレベル低の脆弱性が存在する C 152 71% リスクレベル中の脆弱性が存在する D 22 10% リスクレベル⾼の脆弱性が存在する E 4 2% リスクレベル緊急の脆弱性が存在する ※診断対象を特定のAWSサービスに限定した診断は除く 7割の環境にリスクレベル「中」の脆弱性が

13 総合評価とは診断において最も⾼いリスクレベルに応じてA〜E 評価をつける評価件数割合評価基準 A 0 0% 診断対象範囲内に脆弱性が発見されていない状態 B 35 17% リスクレベル低の脆弱性が存在する C 152 71% リスクレベル中の脆弱性が存在する D 22 10% リスクレベル⾼の脆弱性が存在する E 4 2% リスクレベル緊急の脆弱性が存在する ※診断対象を特定のAWSサービスに限定した診断は除く 8環境に1環境は、重大なセキュリティリスクを抱えている

15 リスクレベル別分析リスクレベル ※検出率基準および具体例緊急 2% 任意コード実行や金銭窃取、不正アクセスの発見やそれにつながる重大な脆弱性⾼ 12% 重要データや大量の個人情報の漏洩・改ざんにつながる脆弱性中 82% 条件付きで成立する情報漏洩や、影響が限定的な能動的攻撃につながる脆弱性低 99% 攻撃が困難または影響が軽微な脆弱性 ※検出率:そのリスクレベルの問題が少なくとも1つ以上検出されたシステムの割合（1システムに2件以上緊急が存在していても1件とみなす）

16 リスクレベル別分析リスクレベル ※検出率基準および具体例緊急 2% 任意コード実行や金銭窃取、不正アクセスの発見やそれにつながる重大な脆弱性⾼ 12% 重要データや大量の個人情報の漏洩・改ざんにつながる脆弱性中 82% 条件付きで成立する情報漏洩や、影響が限定的な能動的攻撃につながる脆弱性低 99% 攻撃が困難または影響が軽微な脆弱性 ※検出率:そのリスクレベルの問題が少なくとも1つ以上検出されたシステムの割合（1システムに2件以上緊急が存在していても1件とみなす）

17 リスクレベル別分析リスクレベル ※検出率基準および具体例緊急 2% 任意コード実行や金銭窃取、不正アクセスの発見やそれにつながる重大な脆弱性⾼ 12% 重要データや大量の個人情報の漏洩・改ざんにつながる脆弱性中 82% 条件付きで成立する情報漏洩や、影響が限定的な能動的攻撃につながる脆弱性低 99% 攻撃が困難または影響が軽微な脆弱性 ※検出率:そのリスクレベルの問題が少なくとも1つ以上検出されたシステムの割合

18 リスクレベル⾼ Top 3 # 脆弱性名サービス検出率 1 パブリックアクセス可能なAWSサービス S3, SQS, ECR … 10% 2 認証機能の不備 API Gateway, AppSync… 2% 3 既知の脆弱性が存在している問題 EC2, ECS, ECR, Lambda … 1%

20 1. パブリックアクセス可能なAWSサービスパブリックアクセスリソースベースポリシー設定やセキュリティグループ S3 SQS ECR Lambda RDS Redshift EBS Snapshot AMI

21 1. パブリックアクセス可能なAWSサービス（リソースベースポリシー）脆弱なポリシー対策

22 1. パブリックアクセス可能なAWSサービス（設定やセキュリティグループ）パブリックアクセシビリティON ＆ 0.0.0.0/0 からの接続を許可パブリックアクセシビリティOFF or プライベートサブネットに配置対策脆弱な設定

24 2. 認証機能の不備（例1）機微/機密情報を返すエンドポイントに対して認証してない API Gateway

25 2. 認証機能の不備（例2） API Gateway ② APIにアクセス ① 認証 Webアプリ

26 2. 認証機能の不備（例2） API Gateway ① 認証画面のJSから API Gatewayの情報を取得 ② 直接API Gatewayにアクセス Webアプリ

27 2. 認証機能の不備（対策） API Gateway Lambda AWS Cloud オーソライザー Lambda関数内での認証・認可処理 Cognito Lambda

29 3. 既知の脆弱性が存在している問題 Log4Shellに脆弱なWebサーバーが外部からアクセス可能な状態だった RCE EC2

30 3. 既知の脆弱性が存在している問題（実際のインシデント例）年月概要参考 2021 年 6 月 Adminer の SSRF 脆弱性 CVE-2021-21311 を悪用し、EC2 IMDSv1 から一時クレデンシャルを窃取して S3 へアクセス・データ流出 Google Cloud 2021年12月決済ソフト Cyclos の Log4Shell (CVE-2021-44228) から侵入され、S3 フルアクセスキーを奪取・2 万ユーザー分の KYC データを削除／流出 5 百万 USD の身代金要求 CyStack | Fight against cyber threats 2022年6月 GitLab RCE (CVE-2021-22205) で管理者キーを奪取。backup IAM ユーザーを作成し全権限を付与、xlarge EC2 を 13 台起動して暗号資産マイニングウェイバックマシン 2022年12月攻撃者 Scattered Spider が ForgeRock OpenAM RCE (CVE-2021-35464) を悪用し、EC2 インスタンスロールを奪取して aws_consoler セッションを発行。MFA なしで AWS コンソールへ横展開 CrowdStrike 2023 年 9 月 MinIO の情報漏えい／RCE CVE-2023-28432 などを連鎖させ、AWS EC2 上の MinIO バイナリを“Evil MinIO”に置換してリモートコマンド実行・持続化 Security Joes 2024年1月 Laravel サイトの .env を狙い、CVE-2017-9841（PHPUnit RCE）や CVE-2021-41773（Apache）を組み合わせて侵入取得した AWS 資格情報で新規 IAM ユーザーを作成し EC2 を悪用 darkreading.com 2024 年 5 月 Laravel CVE-2021-3129 で侵入し、Bedrock / Anthropic Claude など LLM API へ課金不要でアクセスするための AWS キーを収集・転売（LLMjacking ） Sysdig ・・・

31 3. 既知の脆弱性が存在している問題（対策） Inspector で脆弱性を見つけ Inspector Patch Manager パッチマネージャーで修正

33 リスクレベル中 Top 3 # 脆弱性名サービス検出率 1 強い権限のIAM ユーザーにMFA が設定されていない問題 IAM 89% 2 AWSサービスに強い権限のIAMロールが関連づけられている問題 IAM 23% 3 IAMにおける特権昇格 IAM 23%

35 1. 強い権限のIAM ユーザーにMFA が設定されていない問題強い権限のIAMユーザーとは

36 コンソールログインが有効なIAMユーザーアクセスキーが発行されているIAMユーザー 1. 強い権限のIAM ユーザーにMFA が設定されていない問題

37 認証情報が漏洩した際に AWS アカウントのほとんどすべてのリソースにアクセスが行われる 1. 強い権限のIAM ユーザーにMFA が設定されていない問題

38 1. 強い権限のIAM ユーザーにMFA が設定されていない問題（実際のインシデント例）年月概要参考 2014 年 6月攻撃者がAWS管理コンソールの認証情報を入手し、IAMユーザーとアクセスキーを作成。S3やEC2などの重要リソースを削除。 Hacker puts code spaces out of business 2017 年 5月 OneLoginの中間ホストに保存されていたAWSキーが攻撃者により窃取され、不正にEC2インスタンス作成やデータベースアクセスが行われた。 May 31, 2017 Security Incident 2020年7月ルートIAMユーザーのアクセスキーが漏洩し、攻撃者がSSHキーを作成してEC2にアクセス waybackmachine 2022 年 10 月開発者のIAMユーザーが侵害され、さらに別の特権ユーザーのPCが個別に狙われ、復号鍵にアクセス LastPass 2022年12月 ForgeRockのCVEを悪用してaws_consolerツールを使い、MFAなしでコンソールセッションにピボット Crowdstrike 2024 年 1 月 Administrator権限を持つIAMユーザーのアクセスキーが流出。管理者ユーザーの追加やSESを用いたスパム送信が実行された。 Ransomware in the cloud 2024 年 12月盗まれたクレデンシャルで新たなユーザーとアクセスキーを作成し、LLMリソースを乗っ取り waybackmachine ・・・

39 コンソールログインが有効なIAMユーザー 1. 強い権限のIAM ユーザーにMFA が設定されていない問題（対策）アクセスキーが発行されているIAMユーザー

41 2. AWSサービスに強い権限のIAMロールが関連付けられている問題 DynamoDB 脆弱な AWSサービス強い権限の IAMロール ①侵害 Lambda S3 ②権限取得 ③アクセス

42 2. AWSサービスに強い権限のIAMロールが関連付けられている問題（対策）必要に応じて Conditon句で制限必要最小限の権限ワイルドカードではなく ARN を限定必要に応じて制限 IAMロールには必要最小限の権限割り当て

44 3. IAMにおける特権昇格 IAMはポリシー次第で与えられている以上の権限を獲得できてしまう

45 3. IAMにおける特権昇格（簡単な例）管理者のアクセスキーの取得 IAM 管理者のアクセスキーの発行

46 3. IAMにおける特権昇格特権昇格可能なActionは他にもたくさん・・・ iam:CreateLoginProfile iam:UpdateLoginProfile iam:AttachGroupPolicy iam:PutGroupPolicy iam:AttachRolePolicy iam:PutUserPolicy iam:PutRolePolicy iam:AddUserToGroup lambda:UpdateFunctionCode iam:PassRole + lambda:CreateEventSourceMapping + lambda:CreateFunction glue:UpdateDevEndpoint + (glue:GetDevEndpoint | glue:GetDevEndpoints) iam:PassRole + glue:CreateDevEndpoint + (glue:GetDevEndpoint | glue:GetDevEndpoints) etc… 参考: https://cloud.hacktricks.wiki/en/pentesting-cloud/aws-security/aws-privilege-escalation/aws-iam-privesc.html

47 3. IAMにおける特権昇格（対策）必要最低限の権限のみを付与ポリシー変数で自分のみに適用

49 リスクレベル低 Top 3 # 脆弱性名サービス検出率 1 不適切な機密情報の管理 EC2, ECR, ECS 74% 2 既知の脆弱性が存在している問題 EC2, ECR, ECS 72% 3 EC2インスタンスにおいてIMDSv1が有効である問題 EC2 59%

51 1. 不適切な機密情報の管理 • 不適切な機密情報の管理とは • AWSサービス内に平文で保存されている機密情報のこと • よく検出される場所 • ローカルファイルシステム（EC2/ECS/ECR…） • $HOME/.aws/credentials • AWSリソース • Lambda/ECS/Batchなどの環境変数 • EC2メタデータ • AWS WAFルール • Glueジョブパラメータ • API Gatewayのステージ変数などなど

52 1. 不適切な機密情報の管理（影響）ローカルファイルや環境変数に機密情報があると Webアプリケーションの脆弱性を介して漏洩 AWS 認証情報ファイルの取得 Webアプリケーションの脆弱性を突く EC2

53 1. 不適切な機密情報の管理（影響） AWSのリソース情報に平文で機密情報があると AWS APIを介して漏洩 CloudFormationテンプレート内の機密情報の取得 CloudFormationの設定情報の取得 CloudFormation

54 1. 不適切な機密情報の管理（対策）機密情報はSecrets ManagerやParameter Storeに暗号化して保存し参照 Secrets Manager Parameter Store

55 1. 不適切な機密情報の管理（機密情報の検出）参考情報: https://github.com/trufflesecurity/trufflehog trufflehog・・・機密情報を検出するツール

58 3. EC2インスタンスにおいてIMDSv1が有効である問題 IMDSv1とは・・・EC2 インスタンスに関するメタデータを取得するための仕組み

59 3. EC2インスタンスにおいてIMDSv1が有効である問題 IMDSv1 Webアプリケーションの脆弱性を介してインスタンスメタデータにアクセス IAMロールの認証情報の取得 Webアプリケーションの脆弱性を突く EC2

60 3. EC2インスタンスにおいてIMDSv1が有効である問題（実例）年月概要参考 2018年5月 SAML アプリ取り込み機能経由のSSRFによりメタデータにアクセス HackerOne 2018年12月 proxy.duckduckgo.com の画像プロキシSSRFによりメタデータにアクセス HackerOne 2019年12月 ?url= パラメータの SSRF によりメタデータにアクセス HackerOne 2019年11月 Webhook 実装の SSRF によりメタデータにアクセス HackerOne 2020年7月プロジェクト Webhook のテスト機能で SSRF によりメタデータにアクセス HackerOne 2020年8月カスタム統合 Webhook の SSRFによりメタデータにアクセス HackerOne 2021年12月 Cloudbot の readapi 変数経由 SSRFによりメタデータにアクセス HackerOne 2023年1月任意 URL SSRF によりメタデータにアクセス HackerOne ・・・

61 3. EC2インスタンスにおいてIMDSv1が有効である問題（対策） IMDSv2ではメタデータアクセスにトークンが必要メタデータにアクセス EC2 IMDSv2 トークンがないため弾かれる

63 まとめ • 傾向 • 脆弱性ゼロの環境なし • 約8環境に1つが重大リスク • よくある脆弱性 • 【緊急】S3/EC2侵害、Cognito過剰権限 • 【⾼】公開設定、認証不備、既知脆弱性 • 【中】MFA未設定、IAM権限過多 • 【低】平文の機密情報、IMDSv1 • 主な対策 • 最小権限の原則徹底 • MFAの強制と適切な認証設計 • ベンダーツールの活用

64 We are hiring!! https://www.wantedly.com/projects/1759314

65 ご清聴ありがとうございました

AWS診断200件の分析から見る頻出指摘と対策

AWS診断200件の分析から見る頻出指摘と対策

Other Decks in Programming

Featured

Transcript