作成した覚えがないリソースが AWS マネジメントコンソールに表示されます。自分の AWS リソースまたはアカウントが不正利用された可能性があるという通知を受け取りました。
AWS アカウントで不正なアクティビティが疑われる場合に、そのアクティビティが不正であったかどうかを確認するには、次の手順を実行します。
その後、不正なアクティビティを確認できた場合は、この記事の「AWS アカウントで不正なアクティビティがあった場合」セクションの指示に従います。
注: アカウントにサインインできない場合は、「AWS アカウントへのサインインやアクセスに問題がある場合はどうすればよいですか?」を参照してください。
アカウントの IAM ID によって実行された不正なアクションを特定する
次の手順を実行します。
アカウントに対する不正なアクセスや変更を特定する
手順については、「特定の IAM ユーザー、ロール、および AWS アクセスキーのアカウントアクティビティをモニタリングするにはどうすればよいですか?」を参照してください。また、「AWS アカウントでの異常なリソースアクティビティをトラブルシューティングするにはどうすればよいですか?」も参照してください。
不正なリソースや IAM ユーザーの作成を特定する
想定外のサービス、リージョン、アカウントへの請求など、リソース不正な使用状況を特定するには、以下を確認します。
注: AWS アカウントに関連する料金と使用状況は、AWS Cost Explorer を使用して確認することもできます。詳細については、「Cost Explorer で使用率とコストを分析する方法を教えてください。」を参照してください。
重要: アカウントでの通常と異なるアクティビティに関する通知を AWS から受け取った場合は、まず後述の手順を実行します。その後、完了したアクションの確認を添えて、AWS サポートセンターの通知に返信します。
公開されているアカウントアクセスキーをローテーションして削除する
公開されているアカウントアクセスキーについては、AWS サポートから送信された通常と異なるアクティビティに関する通知で確認します。キーが一覧表示されている場合は、それらのキーについて次の手順を実行します。
詳細については、「AWS アクセスキーを管理するためのベストプラクティス」と「IAM ユーザーのアクセスキーの管理」を参照してください。
権限がない可能性のある IAM ユーザー認証情報をローテーションする
一時的なセキュリティ認証情報を使用している場合は、「IAM ロールの一時的なセキュリティ認証情報の取り消し」を参照してください。
許可されていないアクティビティの有無を AWS CloudTrail ログで確認する
詳細については、「Working with CloudTrail」を参照してください。
認識されない、または不正なリソースを削除する
1. AWS マネジメントコンソールにサインインします。その後、アカウントのすべてのリソースが自ら起動したリソースであることを確認します。前月と現在の使用状況について、必ず確認と比較を行います。すべてのリソースをすべての AWS リージョンで (これまでにリソースを起動したことがないリージョンも含めて) 探すようにしてください。また、次のリソースタイプには特に注意してください。
2. 認識されない、または不正なリソースを削除します。手順については、「AWS アカウントで不要になったアクティブなリソースを終了するにはどうすればよいですか?」を参照してください。
重要: 調査対象のリソースをそのままにしておく必要がある場合は、当該リソースをバックアップすることを検討します。たとえば、規制、コンプライアンス、または法的な理由で EC2 インスタンスを保持する必要がある場合は、インスタンスを終了する前に ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)Amazon EBS スナップショットを作成[ します。
バックアップしたリソースを復元する
バックアップを維持するようにサービスを設定した場合は、当該バックアップを前回の既知の侵害されていない状態から復元します。
特定のタイプの AWS リソースを復元する方法の詳細については、次を参照してください。
アカウント情報を確認する
AWS アカウントの次の情報がすべて正しいことを確認します。
注: AWS アカウントセキュリティのベストプラクティスの詳細については、「AWS アカウントとそのリソースを保護するためのベストプラクティスにはどのようなものがありますか?」を参照してください。
AWS セキュリティインシデント対応ガイド
AWS セキュリティ認証情報
AWS セキュリティ監査のガイドライン
Amazon EC2 のベストプラクティス