本記事については先日開催されたMBSD勉強会にて発表した「Abuse of Data Transfer between Cloud Accounts」の内容に関する記事です。 勉強会登壇時のスライド 概要 クラウドプラットフォームでは提供しているサービスごとに異なるアカウント間にてデータの共有や転送を行う機能が存在します。今回の記事ではそれらの機能を悪用して攻撃を行う手法について、検証や考察の結果をまとめています。記事中でもいくつか紹介していますが、このような攻撃手法を題材としたブログやツールなどが公開されており、今回はそれらの内容を参考にしつつ、自分で手を動かしてみた結果を記載しています。また、いくつかの手法については筆者が携わるペネトレーションテスにおける評価でも利用できるものであると考えています。 なお、本記事にて考察している攻撃手法については、クラウド環境下でのいわゆるPost-E