20251219 OpenIDファウンデーション・ジャパン紹介 / OpenID Foundation Japan Intro

スライド概要 2025/09/11 JAWS-UG 初心者支部#68 残暑のサメとあざらし Security-JAWS コラボ LT 回！

Kuman @KUMAN_R LITALICO / ex-READYFOR VPoE。目標：一日一呟一学。読了/積読は #Kuman本。お仕事・相談等のDMやフォローはお気軽にどうぞ。投稿内容は、主に技術・事業・組織、偶に社会・経済・金融、稀に雑談など。投稿は個人の見解。 qiita.com/KUMAN Kuman @KUMAN_R メール配信の地雷を踏み抜きまくり、赤裸々に語っている感じがなんとも生々しい...。 結局、以下の一言に集約される感じがする。 > 正直SendGridを使う方が早くて安かった気がする ses150-luv1p38.gamma.site 2025-09-09 11:58:00

不正に作成されたIAMユーザーやIAMロールの削除 身に覚えのない変なIAMユーザー/IAMロールがいないか？ 強い権限（AdminiStratorAccessなど）を持つリソースから順番にチェックしていき、怪しいものがあれば権限剥奪、アクセスキーを無効化しましょう。 既存のIAMロールの信頼関係も念の為確認しておいたほうが良いでしょう（信頼設定された外部プリンシパルが攻撃者のリソースのケースがあるかも）。 もしIAM Access Analyzerを有効化しているのであればチェックしましょう。 ここでリストアップされる検出タイプは下記の2種類で、下記条件に該当するIAMロールやS3がリストアップされています。 パブリックアクセス：誰でもアクセスできるリソース 組織外のアクセス：Organizations外からアクセスできるリソース 不正作成されたリソースの確認・停止 おそらくコンピュート

こんにちは。テクニカルサポートチームのShiinaです。 はじめに 最近、永続的な AWS アクセスキーを悪用した新たな脅威が確認されています。 一時的なセキュリティ認証情報を生成し、AWS マネジメントコンソールへのアクセスを試みる手法が報告されており、適切な調査と対策が必要です。 CloudTrail を活用したイベント調査方法と、被害を最小限に抑えるための具体的な対策についてまとめてみました。 脅威について Datadog のレポートによると、攻撃者が永続的なアクセスキーを悪用して一時的なセキュリティ認証情報を生成し、AWS マネジメントコンソールへアクセスする手法が確認されています。 A recent threat hunt uncovered an attack in which a threat actor used a long-lived AWS access key to

{ "version": "1", "type": "GENERAL", "featureDetails": [ { "featureLink": [ "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html#guardduty_cloudwatch_severity_notification", "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-attack-sequence-finding-types.html#attack-sequence-s3-compromised-data", "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-exte

初めてAWSを使っていくときに読んでおきたいセキュリティの覚書、管理者編です。これからAWSの管理者となる人は是非読んでください。あるいは管理者を任せる方が活用してください。 こんにちは、臼田です。 みなさん、AWSのセキュリティ気にしてますか？(挨拶 今回はこれからAWSを使う組織や使い始めた組織向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます！ なお、初めてAWSを使う利用者に向けた記事として初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション｜サービス｜法人のお客さま｜NTT東日本を先に掲載しています。本記事はこの続編で管理者としての内容を綴っていきます。まだ読んでいない方は先にそちらをご覧ください。 目次 前置き〜AWSの管理は大変？〜 組織に

例えば、Content-Typeメタデータの値を細工したオブジェクトを取得させることでXSSを発生させたり、Content-Dispositionメタデータを細工してRFD (Reflected File Download) を引き起こしたり、 x-amz-storage-classメタデータを操作して意図せぬストレージクラスを使用させEDoS (Economical Deninal of Sustainability)を発生させたり、といった攻撃が成立する可能性があります。 中でもContent-Typeを悪用したXSSは、S3の仕様や使用方法だけでなく、ブラウザの挙動にも注意を払う必要があり、アプリ開発者は攻撃の原理と対処を理解しておく必要があります。 9/21にAzaraさんとSecurity-JAWSのコラボで、この問題にフォーカスしたCTFイベント「とある海豹とSecurity-

[AWS][Terraform]Security LakeでCloudTrailやWAFのログをGrafanaで可視化する投稿者: adachi.ryo 投稿日: 2024/12/132024/12/13 こんにちは！ファインディでSREチームをしている安達(@adachin0817)です。 この記事はFindy Advent Calendar 2024 13日目の記事です。12月といえば、私が飼っているフレンチブルドッグのBull氏が2歳を迎えました。この二年間、仕事しつつ、犬の面倒も見れたことを誇りに思います。 はじめに さて、本題に入りますが、AWSでセキュリティ関連のログ（CloudTrailやWAFなど）を可視化して分析する際、独自実装では工数がかかってしまいます。SaaSモニタリングツールにログを転送して運用する方法もありますが、コストが高くなりやすい傾向があります。今回は、セ

AWSセキュリティインシデント擬似体験ワークショップ参加レポ本記事は株式会社ニーリーアドベントカレンダー4日目の記事です！ SREチームの大木です👋 寒くなってくるとスノボを感じてワクワクしてきますね 🏂 2024年10月24日に開催されたAWSセキュリティインシデント擬似体験ワークショップ に参加してきました！色々学びを得られたので、テックブログとして残そうと思います🙌 具体的な内容に関してはネタバレになってしまうので、その辺りはぼかしつつレポしていく所存ではあります。 インシデント擬似体験WSとは？ AWSさんが提供するワークショップの中でも、複数人が集まって行うセッション形式のワークショップです。 セキュリティインシデントを再現したAWS環境が用意され、出題されるクイズに答えながらインシデント調査の技術を習得することができるものです。 クイズ終了後は講師の方によるインシデント調

佐々木です。 技術書典17向けに、NRIネットコムのメンバーで合本を書きました。一人15ページ以内、合計7人で書き切りました。まえがきや目次、あとがきを入れると116ページのちょっとした大作です。 techbookfest.org S3を安全に使うための10の約束 私が書いたところは、S3です。S3の薄い本を書きたいよなと思いつつ、時間が経っておりました。今後のキッカケになるように、安全をテーマに1項目1ページにまとめてみました。書いてみての感想ですが、この1ページ縛りというのがきつい。項目ごとに３～５ページくらい書きたい内容があったのですが、それを１ページに凝縮しました。これ普通にS3の薄い本を書こうとすると、少なくとも150ページくらいになるなと解ったのが収穫です。 執筆の方針 前述の通り、1ページだと概要しか書けません。そのため、具体的な設定方法については、ほぼ言及していません。S3

Amazon Web Services ブログ RAG の精度を向上させる Advanced RAG on AWS の道標 生成 AI の進化と共に、大規模言語モデル (LLM) を活用したアプリケーション開発が急速に広がっています。その中で、検索拡張生成 (Retrieval-Augmented Generation; RAG) は、LLM に対して最新の情報や特定のドメイン知識を組み込むための重要な技術として注目を集めています。 RAG は、その名の通り、外部知識ベースから関連情報を検索し、それを LLM の入力に組み込むことで、より正確で最新の情報に基づいた回答を生成する手法です。この手法には以下のような重要な利点があります。 最新情報の反映: LLM の学習データの制限を超えて、最新の情報を回答に反映させることができる。 ドメイン特化: 特定の分野や組織固有の情報を容易に組み込むこ

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 反省 被害 AWSのSESを利用され、約5万通のメールが不正に送信され、約10ドルの使用料が発生しました。また、焦ってルート権限のMFA設定時にアプリ（別のアプリ用の番号を選択し続ける）の選択を誤り、余計に焦ることになりました。 頭によぎった過去の悪夢 症状 DKIM設定成功通知: 不審なDKIM設定完了の通知を受け取りました（9月12日７時ごろ） 料金アラート: AWSからSESの使用料金が閾値に達したアラートが送信されました（9月13日9時ごろ） 不正なメール送信: 数万通の不正メールが送信され、料金が急増しました ドメインの登録と

ずっとさぼっていたのですがインフラ周りを整備し、AWS SAMで構築できるようにしました。 下記が一番星はてのシステム構成図です。 一番星はてのシステム構成図 システム概要 はてのさんはLambda上におり、EventBridge経由で基本的に2時間に1回のスケジューリングではてなAPIやOpenAI APIと連携しブックマークを行います。 LambdaはコンテナイメージタイプでFastAPIで動いています。FastAPIのルーティングとLambdaを統合するためmangumを利用しています。 各インフラはAWS SAMによってコード管理されており、GitHub Actionsでpush時に自動ビルド、デプロイでAWS上のインフラが構築されます。 感想 これまでIaC化できてなかったが、すごくいい。 構成全体が把握しやすくなるし、変更や拡張が容易になる。 あとからやるのも面倒だし今後は最初

Intigriti teams with NVIDIA to launch bug bounty and vulnerability disclosure program (VDP)

こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか？(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね？そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いAWSセキュリティのコンテンツたちを紹介します。 紹介するコンテンツは、最近実施しているAWSセキュリティ初心者がステップアップしていくことを目的としたmini Security-JAWSにてまとめたmini Security-JAWS Docsです。 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いま