一昨日、2026年6月13日(土曜日)にJAWS-UG 神戸のCTF Game 大会に参加しました。
kazpapa3 さんが遭遇したアクセスキー流出の調査や止血対応の支援の怨念会ということで、とても楽しく、学びになり、そして背筋が冷えた会だったので、感想を綴っていきたいと思います。
CTF Gameとは?
CTF(Capture The Flag) Gameとは、セキュリティ界隈でよく催される、知識を駆使してシステムに隠されたFlag(答えとなる文字列)を見つけ出して得点を競う、ゲーム形式の競技です。
私は今回CTF Game自体が初参加でした。
今回のゲームの概要
今回のゲームでは主にCloudTrailのイベントログを確認して、たとえば攻撃者に書き換えられたIAM Roleはどれか?というような内容をFlagとして回答していく形式でした。
問題は全部で24問あり、私は用意していただいていた3時間ほどをみっちりかけてギリギリで全問解きました。
多分イベント中に全問解答した中では一番最後だったのではないかなと思います。
何名かの方はAIを駆使して開始30〜40分ほどでほぼ全問回答していて、すごかったです。
私は普段アプリエンジニアで、そもそもCloudTrailのログをちゃんと見るのも初めてだったのでそれ自体も勉強になりました。
感じたこと
ログを追うのってやっぱり大変ですよね + 技術の進歩
運用時にアプリのログを追う経験はかなり多くあったのですが、最近は少しそういった現場から離れており、久しぶりにログをしっかり追うとやはり大変だなぁと感じました。
CloudTrailは当然ながら絞り込みの機能などはしっかりしていて、その点は救いでした。
ただ本番ではもっとログの量が増えたり、複数リージョンに跨っていると考慮しないといけないことが増えたりしそうで(一度に必要なログが全て取れないとか)、より大変そうだと思いました。
また生成AIにログを放り込んで、こういうものを調べてと指示するとかなり正確に内容を見てくれて、技術の進歩を感じました。
ただ生のIPが含まれているものを入れて良いのかなど、運用ルールによっては制約がキツかったり合意をとる必要があったりがあると思うので、そういった整理やマスキング手法の準備も備えとして必要なのかなと感じました。
攻撃者の手法、多彩すぎません?
具体的な内容は「まだネタバレはなしで」とのことなので書きませんが、24問という問題数に表れている通り、さまざまな攻撃手法がありました。
特に攻撃の痕跡を隠蔽する手口が多彩かつ自動化されていて、さらにひとつひとつが致命傷になるため、かなり恐ろしいなと感じました。
本番を想像するとさらに恐ろしい
正解がわからない中答えを探さなければいけない
今回はCTF Gameだったため、問題から答えの場所をかなり推測することができました。
しかし実際にことが起きた際には、今回の問題にあたるような確認ポイントも自分たちで作る必要があります。
確認ポイントを学んだり、生成AIの力を借りることもできますが、日々勤勉な攻撃者たちによって新しい攻撃手法も開発されていて、本当にこれで全てか?という不安を抱えながら対応するのは、かなりしんどいことだと思います。
一つでも対応が漏れると致命傷
AWSの管理者権限の窃取では一つでも対応が漏れると再攻撃のリスクがあります。
また顧客情報が含まれる運用中の環境では一度の攻撃が致命傷になる可能性もあります。
実際に起きると絶対に焦る
正解がわからない中、一つも漏らさず対応をしなければ大きな損害を被る問題をぶつけられ、さらに本来やるべきだった仕事ができない状況になります。
これは間違いなく焦ると思います。
とにかくアクセスキーを置かない
さらに悪いことにアクセスキーの窃取の手法も多彩化しています。
特に開発環境を狙ったサプライチェーン攻撃を絡めた手法は本当に恐ろしく、被害に遭わないのは運が良いだけだなと感じます。
端末汚染時の被害を最小限に抑えるため、アクセスキーを置かないことを徹底していく必要があると改めて思いました。
アクセスキー絶対許さないおじさんに俺もなる。
最後に
今回のイベントはkazpapa3 さんの怨念と本当にアクセスキーを撲滅したいという想いを強く感じるイベントで、多くの学びをいただきました。
準備も相当大変だったことと思います。
改めて開催いただき、ありがとうございました!
おわり。