脆弱性①：Public Subnet に VPN サーバ（EC2 WireGuard）がある

これは設計上必要ですが、リスクとしては非常に大きい。

なぜ危険？

• UDP/51820 が 世界中へ公開 されている
• DoS（UDPフラッド）攻撃の入口になる
• WireGuard キーが漏れたら 自宅LANまで完全侵入される
• セキュリティグループのミス設定で“誰でも VPN”の可能性もある

改善案

• 認証キーを定期ローテーション
• UDP フラッド防御（iptables, AWS Shield）
• 接続可能 IP を制限
• Fail2Ban / fwmark / rate-limit の導入

脆弱性②：AWS と 自宅LAN が“L2的に接続された状態”になる

WireGuard により、AWS から 192.168.1.0/24 に 直接アクセス可能。

これはつまり：

AWS側EC2／ECS が攻撃されたら → 家庭LAN に lateral movement（横移動攻撃）

入られると何が起きる？

• 家庭LANの PC・NAS・IoT が攻撃対象になる
• ルーターの管理画面に侵入される