AWS アカウントの不正なアクティビティに気付いた場合はどうすればよいですか?

所要時間2分
0

AWS マネジメントコンソールで作成した覚えのないリソースが表示されます。

  • または - AWS のリソースまたはアカウントが不正アクセスされた可能性があるという通知を受け取りました。

簡単な説明

AWS アカウントで不正なアクティビティが疑われる場合は、まず次の操作を行って、そのアクティビティが不正であるかどうかを確認します。

  • アカウントの AWS Identity and Access Management (IAM) アイデンティティによって実行された承認されていないアクションを特定します。
  • アカウントへの不正アクセスや変更を特定します。
  • 承認されていないリソースの作成を特定します。
  • ロール、管理ポリシー、または AWS Organization で作成された不正にリンクされたアカウントなどの管理上の変更など、許可されていない IAM リソースの作成を特定します。

その後、不正なアクティビティが見つかった場合は、この記事の「AWS アカウントに不正なアクティビティがあった場合」セクションの指示に従ってください。

注意: アカウントにサインインできない場合は、「AWS アカウントへのサインインまたはアクセスに問題がある場合はどうすればよいですか?」を参照してください。

解決方法

AWS アカウントで不正なアクティビティがあったかどうかを確認する

アカウントの IAM アイデンティティによって実行された不正なアクションを特定する

  1. 各 IAM ユーザーパスワードまたはアクセスキーが最後に使用された時間を特定します。手順については、「AWS アカウントの認証情報レポートの取得」を参照してください。
  2. 最近使用された IAM ユーザー、ユーザーグループ、ロール、およびポリシーを特定します。手順については、「IAM の最終アクセス情報の表示」を参照してください。

アカウントに対する不正アクセスや変更を特定する

手順については、「特定の IAM ユーザー、ロール、および AWS アクセスキーのアカウントアクティビティをモニタリングするにはどうすればよいですか?」を参照してください。 また、「AWS アカウントで異常なリソースアクティビティをトラブルシューティングするにはどうすればよいですか?」も参照してください。

承認されていないリソースまたは IAM ユーザーの作成を特定する

想定されていないサービス、リージョン、アカウントへの請求など、承認されていないリソースの使用を特定するには、次を確認してください。

注: AWS Cost Explorer を使用して、AWS アカウントに関連付けられている料金と使用量を確認することもできます。詳細については、「Cost Explorer により使用量と使用状況を分析するにはどうすればよいですか?」を参照してください。

AWS アカウントで不正なアクティビティがあった場合

重要: アカウントでの不規則なアクティビティに関する通知を AWS から受け取った場合は、まず次の手順を実行してください。次に、完了したアクションの確認を添えて、AWS サポートセンターの通知に返信します。

公開されたアカウントアクセスキーをローテーションして削除する

公開されたアカウント アクセス キーについては、AWS サポートから送信される不規則なアクティビティの通知を確認してください。キーがリストされている場合は、それらのキーに対して次の操作を行います。

  1. 新しい AWS アクセスキーを作成します
  2. 新しいアクセスキーを使用するようにアプリケーションを変更します。
  3. 元のアクセスキーを非アクティブ化します
    重要: 元のアクセスキーはまだ削除しないでください。元のアクセスキーのみを非アクティブ化します。
  4. アプリケーションに問題がないことを確認します。問題がある場合は、元のアクセスキーを一時的に再アクティブ化して問題を修正します。
  5. 元のアクセスキーを非アクティブ化した後にアプリケーションが完全に機能する場合は、元のアクセスキーを削除します。
  6. 不要になった、または作成しなかった AWS アカウントのルートユーザーアクセスキーを削除します。

詳細については、「AWS アクセスキーを管理するためのベストプラクティス」と「IAM ユーザーのアクセスキーの管理」を参照してください。

許可されていない可能性がある IAM ユーザーの認証情報をローテーションする

  1. IAM コンソールを開きます。
  2. 左側のナビゲーションペインで、[Users] (ユーザー) を選択します。AWS アカウントの IAM ユーザーのリストが表示されます。
  3. リストの最初の IAM ユーザーの名前を選択します。IAM ユーザーの [Summary] (概要) ページが開きます。
  4. [Permissions] (許可) タブの [Permissions policies] (許可ポリシー) セクションで、AWSExposedCredentialPolicy_DO_NOT_REMOVE という名前のポリシーを探します。ユーザーがこのポリシーをアタッチしている場合は、ユーザーのアクセスキーをローテーションします。
  5. アカウントの各 IAM ユーザーについて、ステップ 3 と 4 を繰り返します。
  6. 作成していない IAM ユーザーを削除します
  7. 自分が作成したもののうち、保持するすべての IAM ユーザーのパスワードを変更します。

一時的なセキュリティの認証情報を使用する場合は、「IAM ロールの一時的なセキュリティ認証情報の取り消し」を参照してください。

AWS CloudTrail ログで認可されていないアクティビティを確認する

  1. AWS CloudTrail コンソールを開きます。
  2. 左のナビゲーションペインで [イベント履歴] をクリックします。
  3. アクセスキー、ポリシー、ロール、または一時的なセキュリティ認証情報の作成など、許可されていないアクティビティを確認します。
    重要:[イベント時間] を確認して、リソースが最近作成されたかどうか、および通常とは異なるアクティビティと一致しているかどうかを確認してください。
  4. 認可されていないと特定したアクセスキー、ポリシー、ロール、または一時的なセキュリティ認証情報を削除します。

詳細については、「CloudTrail の操作」を参照してください。

認識できない、または承認されていないリソースを削除する

1.    AWS マネジメントコンソールにサインインします。その後、アカウントのすべてのリソースが自ら起動したリソースであることを確認します。必ず前月の使用量と現在の使用量を確認して比較してください。すべての AWS リージョン (これまでにリソースを起動したことがないリージョンも含む) でリソースを確認してください。また、次のリソースタイプにも特に注意してください。

2.    認識されていない、または許可されていないリソースをすべて削除します。手順については、「AWS アカウントで不要になったアクティブなリソースを終了するにはどうすればよいですか?」を参照してください。

重要: 調査のためにリソースを保持する必要がある場合は、それらのリソースをバックアップすることを検討してください。例えば、規制、コンプライアンス、または法的な理由で EC2 インスタンスを保持する必要がある場合は、インスタンスを終了する前に Amazon EBS スナップショットを作成します。

バックアップしたリソースを復旧する

バックアップを維持するようにサービスを設定した場合は、侵害されていないことが判明している最新時点のそれらのバックアップを復旧します。

特定のタイプの AWS リソースを復元する方法の詳細については、次を参照してください。

アカウント情報を確認する

AWS アカウントの次の情報がすべて正しいことを確認します。

注: AWS アカウントのセキュリティのベストプラクティスの詳細については、「自分の AWS アカウントとそのリソースをセキュアにするためのベストプラクティスについて教えてください」を参照してください。


関連情報

AWS セキュリティインシデント対応ガイド

AWS セキュリティ認証情報

AWS セキュリティ監査ガイドライン

Amazon EC2 のベストプラクティス

コメントはありません

関連するコンテンツ