スライド概要 2025/09/11 JAWS-UG 初心者支部#68 残暑のサメとあざらし Security-JAWS コラボ LT 回！

不正に作成されたIAMユーザーやIAMロールの削除 身に覚えのない変なIAMユーザー/IAMロールがいないか？ 強い権限（AdminiStratorAccessなど）を持つリソースから順番にチェックしていき、怪しいものがあれば権限剥奪、アクセスキーを無効化しましょう。 既存のIAMロールの信頼関係も念の為確認しておいたほうが良いでしょう（信頼設定された外部プリンシパルが攻撃者のリソースのケースがあるかも）。 もしIAM Access Analyzerを有効化しているのであればチェックしましょう。 ここでリストアップされる検出タイプは下記の2種類で、下記条件に該当するIAMロールやS3がリストアップされています。 パブリックアクセス：誰でもアクセスできるリソース 組織外のアクセス：Organizations外からアクセスできるリソース 不正作成されたリソースの確認・停止 おそらくコンピュート

こんにちは。テクニカルサポートチームのShiinaです。 はじめに 最近、永続的な AWS アクセスキーを悪用した新たな脅威が確認されています。 一時的なセキュリティ認証情報を生成し、AWS マネジメントコンソールへのアクセスを試みる手法が報告されており、適切な調査と対策が必要です。 CloudTrail を活用したイベント調査方法と、被害を最小限に抑えるための具体的な対策についてまとめてみました。 脅威について Datadog のレポートによると、攻撃者が永続的なアクセスキーを悪用して一時的なセキュリティ認証情報を生成し、AWS マネジメントコンソールへアクセスする手法が確認されています。 A recent threat hunt uncovered an attack in which a threat actor used a long-lived AWS access key to

{ "version": "1", "type": "GENERAL", "featureDetails": [ { "featureLink": [ "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html#guardduty_cloudwatch_severity_notification", "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-attack-sequence-finding-types.html#attack-sequence-s3-compromised-data", "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-exte

初めてAWSを使っていくときに読んでおきたいセキュリティの覚書、管理者編です。これからAWSの管理者となる人は是非読んでください。あるいは管理者を任せる方が活用してください。 こんにちは、臼田です。 みなさん、AWSのセキュリティ気にしてますか？(挨拶 今回はこれからAWSを使う組織や使い始めた組織向けに、AWSセキュリティで絶対に覚えておく必要があることを解説します。 この記事を読んでいただければ、自信を持って安全にAWSを利用し始められます！ なお、初めてAWSを使う利用者に向けた記事として初めてAWSを使うときのセキュリティ覚書〜利用者編〜 | コラム | クラウドソリューション｜サービス｜法人のお客さま｜NTT東日本を先に掲載しています。本記事はこの続編で管理者としての内容を綴っていきます。まだ読んでいない方は先にそちらをご覧ください。 目次 前置き〜AWSの管理は大変？〜 組織に

例えば、Content-Typeメタデータの値を細工したオブジェクトを取得させることでXSSを発生させたり、Content-Dispositionメタデータを細工してRFD (Reflected File Download) を引き起こしたり、 x-amz-storage-classメタデータを操作して意図せぬストレージクラスを使用させEDoS (Economical Deninal of Sustainability)を発生させたり、といった攻撃が成立する可能性があります。 中でもContent-Typeを悪用したXSSは、S3の仕様や使用方法だけでなく、ブラウザの挙動にも注意を払う必要があり、アプリ開発者は攻撃の原理と対処を理解しておく必要があります。 9/21にAzaraさんとSecurity-JAWSのコラボで、この問題にフォーカスしたCTFイベント「とある海豹とSecurity-

[AWS][Terraform]Security LakeでCloudTrailやWAFのログをGrafanaで可視化する投稿者: adachi.ryo 投稿日: 2024/12/132024/12/13 こんにちは！ファインディでSREチームをしている安達(@adachin0817)です。 この記事はFindy Advent Calendar 2024 13日目の記事です。12月といえば、私が飼っているフレンチブルドッグのBull氏が2歳を迎えました。この二年間、仕事しつつ、犬の面倒も見れたことを誇りに思います。 はじめに さて、本題に入りますが、AWSでセキュリティ関連のログ（CloudTrailやWAFなど）を可視化して分析する際、独自実装では工数がかかってしまいます。SaaSモニタリングツールにログを転送して運用する方法もありますが、コストが高くなりやすい傾向があります。今回は、セ

AWSセキュリティインシデント擬似体験ワークショップ参加レポ本記事は株式会社ニーリーアドベントカレンダー4日目の記事です！ SREチームの大木です👋 寒くなってくるとスノボを感じてワクワクしてきますね 🏂 2024年10月24日に開催されたAWSセキュリティインシデント擬似体験ワークショップ に参加してきました！色々学びを得られたので、テックブログとして残そうと思います🙌 具体的な内容に関してはネタバレになってしまうので、その辺りはぼかしつつレポしていく所存ではあります。 インシデント擬似体験WSとは？ AWSさんが提供するワークショップの中でも、複数人が集まって行うセッション形式のワークショップです。 セキュリティインシデントを再現したAWS環境が用意され、出題されるクイズに答えながらインシデント調査の技術を習得することができるものです。 クイズ終了後は講師の方によるインシデント調

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 反省 被害 AWSのSESを利用され、約5万通のメールが不正に送信され、約10ドルの使用料が発生しました。また、焦ってルート権限のMFA設定時にアプリ（別のアプリ用の番号を選択し続ける）の選択を誤り、余計に焦ることになりました。 頭によぎった過去の悪夢 症状 DKIM設定成功通知: 不審なDKIM設定完了の通知を受け取りました（9月12日７時ごろ） 料金アラート: AWSからSESの使用料金が閾値に達したアラートが送信されました（9月13日9時ごろ） 不正なメール送信: 数万通の不正メールが送信され、料金が急増しました ドメインの登録と

Intigriti teams with NVIDIA to launch bug bounty and vulnerability disclosure program (VDP)

こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか？(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね？そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いAWSセキュリティのコンテンツたちを紹介します。 紹介するコンテンツは、最近実施しているAWSセキュリティ初心者がステップアップしていくことを目的としたmini Security-JAWSにてまとめたmini Security-JAWS Docsです。 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いま

Amazon S3の空のバケットに対してアクセスされると、たとえそれが第三者からの不正アクセスでエラーが返ったとしてもリクエスト料金が発生してしまうという現象について、AWSが修正を完了したと5月13日付けで明らかにしました。 これまでは空のバケットへのアクセス方法を知っている第三者が大量のリクエストを発行した場合、例えその結果「AccessDenied」（HTTP 403 Forbidden） エラーが返ったとしても、バケットの所有者には大量のリクエスト処理による利用料金が請求されてしまうという問題が発生していました。また、実質的にこれを防ぐ方法はないとされていました（AWSのドキュメント）。 4月30日にあるAWSユーザーのブログによってこの現象が明らかになった後、AWSのエンジニアは直ちに修正作業に入ったことが同社のチーフエバンジェリストであるJeff Barr氏によって示されました

大阪オフィスの川原です。 クラスメソッドのシン・大阪オフィスでの初イベント DevelopersIO OSAKA Day One -re:union- にて 『疲弊しないAWSセキュリティ統制の考え方』 というメインセッションを話しました。 ご参加いただいたみなさま、ありがとうございます！ 発表で使った資料を本ブログで公開します。 当日の発表では時間の都合上話せなかった部分もいくつかありますので、 気になった方はぜひ見てください。 参考になれば幸いです。 スライド 参考資料 責任共有モデル | AWS NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST NIST Cybersecurity Framework (CSF) 2.0 Reference Tool | NIST Cyber Defense Ma

小西秀和です。 2024年2月1日以降、Gmailでは迷惑メール削減を目的として、Gmailアカウントにメール送信する送信者は送信元アドレスのドメインにDKIM(DomainKeys Identified Mail)、SPF(Sender Policy Framework)の設定が必要となりました。 また、Gmailアカウントに1日あたり5000件以上のメールを送信する場合にはDMARC(Domain-based Message Authentication, Reporting, and Conformance)の設定も必要となっています。 参考：Email sender guidelines - Google Workspace Admin Help このような事情から最近再びDKIM, SPF, DMARCの設定に関する話題が多くなっていたので、今後の新規ドメインによるメール送信も考

こんにちは、臼田です。 みなさん、AWSできるマンの人材育成してますか？(挨拶 今回は、2022年4月8日に実施したAWSトレーニング・人材育成ウェビナー 今あなたが学ぶべきAWSセキュリティにてお話した内容をブログにまとめます。 資料 解説 私の内容の解説の前に少し追加の情報を。 今回のイベントでは私の前に「怖がらずにセキュリティと向き合うために」というタイトルで、アマゾン ウェブ サービス ジャパン合同会社 セキュリティ アシュアランス本部 本部長の松本照吾さんにご登壇いただきました。怖がらずにセキュリティと向き合うために、どう考えてどう取り組めばいいか、大変良く分かる内容でした。ぜひ松本照吾さんが他の場で登壇されるのを見かけたら、話を聞いてみてください。 では私のセッションの話を。 私のセッションのテーマは「AWSセキュリティを理解して便利に運用しよう」です。よく一般ではITのセキュ

Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber