771 Views
August 23, 24
スライド概要
2024年8月23日 Shima Tech Hub #5
https://shima-tech-hub.connpass.com/event/326984/
アールスリーインスティテュートは、kintoneを中心とした クラウドサービスを活用することで お客様の継続的な業務改善をサポートします。
AWSノコワイハナシ 2024/08/23 Shima Tech Hub #5 アールスリーインスティテュート 西島 www.r3it.com
はじめまして! アールスリーインスティテュート サービスグループ gusukuユニット デベロップメントチーム マネージャー 西島 幸一郎 @k_nishijima #しまてく ハッカーズチャンプルーのなかのひと https://hackers-champloo.org/ www.r3it.com
アールスリーインスティテュート システムの受注開発と 法人向けSaaSの二本立て 創業 社員数 拠点 年商 2000年 41名 大阪 10億 東京 沖縄 みんなの家 www.r3it.com
琉球ゴールデンキングスのパートナーです www.r3it.com
夏、といえば怪談 www.r3it.com
という安直な企画を出して しまったのは私ですw なので一応、趣旨説明をします www.r3it.com
今回したい怪談、コワイハナシとは ● IT業界における業界裏話みたいなやつ ○ ○ 会社のカレンダーには23時30分に定例会議が入っていてね...とか 人が入っていくけど出てこないビルがあってね...とか そういうことではなくて!! ● ヒヤリハットなやらかし ● いまでこそ笑って振り返ることが出来る伝説... ● 業界騒然の本当にコワイハナシ などなど、落ちたことのある落とし穴をノウハウとして共有し、 皆様の改善に役立てたり、将来落ちないようにすることが目的です! www.r3it.com
ということで本日のお題 ● あるところに、古(いにしえ)からそこにある AWSアカウントがありました... ● 番外編:7月末に起こったとある事件について www.r3it.com
とあるところに... ● ふる〜いAWSアカウントがありました ● その中には、もちろんふる〜いEC2インスタンスがあります (SI案件のお客さん事情で環境を固定されてるやつ、とか) ● 自分の社歴より古いインスタンス (なのでオレは何も知らんw ● そんな環境にも脅威検知・不正侵入防止 (いわゆるIDS)が入りました。 というか自分が入れました。 www.r3it.com
Amazon GuardDuty ● ● 脅威検知(いわゆるIDS/IPS)や マルウェアプロテクションが もりもりのサービス とてもおすすめなので もしまだであれば、 取り敢えず有効にしておこう www.r3it.com
そしたら…!? なんか出た ● IAMUser/RootCredentialUsage The API DescribeVolumes was invoked using root credentials from IP address xxx.xx.xxx.x. 意訳:ルートユーザーのキー使ってAPI呼んでるで? なんだと?🧐 www.r3it.com
調査・原因と対策 ● ● APIが使用されているインスタンスを特定、調査 古の時代のバックアップを実行するスクリプトに、 APIキーが直接書かれていた ○ ● 現在ではほぼやらない方法だが、遠い昔はままあった... IAMロールを作って割り当て、認証情報を書かずに動くように修正 一件落着🎉 www.r3it.com
ひと安心、と思ったら…? ● 翌月頭に、さらに変なのが検出された ● DefenseEvasion:EC2/UnusualDNSResolver The EC2 instance i-XXXXXXXX is communicating with an unusual DNS resolver 192.58.128.30. このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。 意訳:知らんDNSと通信してるやつがいるよ! …え? www.r3it.com
さぁ、アナタならどうする? ● 引く血の気 ● 震える指先 ● とりあえず接続先の192.58.128.30は 普通にVeriSignのルートサーバっぽいぞ? ● 怪談っぽくなってきた...☠ www.r3it.com
調査・原因と対策 ● ● 物理で言う「ケーブル引っこ抜き」をやろうかと思った (Outboundで該当宛先を塞ぐ) が、その前に犯人が見つかった。 Red Hatの古いドキュメント 2.2. 無効にしても安全なサービスを選択するためのガイドより > unbound-anchor.timer は、DNSSEC (DNS Security Extensions) のルートトラストアンカーを毎日更新す る必要がない場合に限り無効にします。このルートトラストアンカーは、DNSSEC 検証の Unbound リゾル バー、およびリゾルバーライブラリーにより使用されます。 ● お前誰やねん!!!😫 www.r3it.com
調査・原因と対策 ● Amazon Linux1 ではこんなcronでした (バージョン依存で、2以降ではもう無いと思う) $ cat /etc/cron.d/unbound-anchor # Look to see if the DNSSEC Root key got rolled, if so check trust and update 10 3 1 * * unbound /usr/sbin/unbound-anchor -a /var/lib/unbound/root.anchor -c /etc/unbound/icannbundle.pem ● 不勉強にて、その存在をまったく知らなかった ● 意図しないOutbound通信は許可しないようにしましょう😅 www.r3it.com
肝が冷えたので、ひとやすみ www.r3it.com
始めるより終わらせるほうが大変、ってはな し ● 普通はライフサイクルポリシーに従って Sunsetプログラムを走らせる ● ゲームなんかだと「サ終だ!明日から無料!」で終わることもあるw ● https://endoflife.date/ www.r3it.com
AWSのサービスがいくつか終了することに ● ● サービス終了はいつかはありうるので、 それ自体は残念ですがしゃーないことです ただ、今回のそれは外から見ると 『余りにもお粗末なやらかし』 と見えたので、反面教師として取り上げたいです ● AWS(Amazon)ほどの企業でもこういうことは起こるらしい www.r3it.com
事件の経緯 時刻があるものはすべて日本時間 ● 2024年7月26日早朝(日本時間):CodeCommitの 移行手順のブログがAWS DevOps Blogにアップされる ○ この段階では、特にサ終のサの字もなし ● 27日お昼ごろ:某有名ブログサイトにて指摘があり騒然となる ● 31日お昼ごろ:Jeff Barrがツイートし噂ではなく既定路線で確 定だろうと受け止められるものの、一切の公式発表もなく困惑が 広がる ● 8月1日お昼ごろ:公式ブログにも追記 「意訳:7月25日から新規顧客には提供するの止めたわ」 www.r3it.com
良くない徴候…? ● 社外から突っ込まれて、 あとから公表に至るように見える流れは かなり恥ずかしい部類に入る ● re:Postでの内部情報の漏洩によると (真偽不明、当時読んでて「えっ?」って思ったけどキャプチャ取りそこねた)、 すでに6月6日の段階で制限がかかっていた様子 ○ にもかかわらず、公式発表の手順がおかしかった ● 恐らく「サービス終了のプロセス」になにか問題がある www.r3it.com
なるほど...? 🤔 www.r3it.com
中の人じゃないので分かりませんが ● 機能追加は成果として見なされるけど、 機能廃止は成果として見なされない ● 評価されないから誰もやらない、やりたくない ↑↑みたいな意識が働いてる?のかも(分からん ● ここから学べることは、いつでも(後ろ向きなときは特に) 顧客のことを考えて行動しましょう、という話でした www.r3it.com
ご注意 ● ● 『サービス終了するなよ』 という話ではないので! どんなものでも 「いつか必ず終わりが来る」ので、 そのときにどう誠実に向き合うか、 というお話です。 www.r3it.com
おわり www.r3it.com