自分の AWS アカウントで不正なアクティビティに気づいた場合はどうすればよいですか?

所要時間2分

作成した覚えがないリソースが AWS マネジメントコンソールに表示されます。自分の AWS リソースまたはアカウントが不正利用された可能性があるという通知を受け取りました。

簡単な説明

AWS アカウントで不正なアクティビティが疑われる場合に、そのアクティビティが不正であったかどうかを確認するには、次の手順を実行します。

アカウントで AWS Identity and Access Management ID によって実行された不正なアクションを特定します。
アカウントに対する不正なアクセスや変更を特定します。
不正なリソースの作成を特定します。
不正な IAM リソース (ロール、管理ポリシーなど) の作成や管理上の変更 (AWS Organization で作成された詐欺的な連結アカウントなど) を特定します。

その後、不正なアクティビティを確認できた場合は、この記事の「AWS アカウントで不正なアクティビティがあった場合」セクションの指示に従います。

注: アカウントにサインインできない場合は、「AWS アカウントへのサインインやアクセスに問題がある場合はどうすればよいですか?」を参照してください。

解決策

AWS アカウントで不正なアクティビティがあったかどうかを確認する

アカウントの IAM ID によって実行された不正なアクションを特定する

次の手順を実行します。

各 IAM ユーザーパスワードまたはアクセスキーが最後に使用された時刻を特定します。手順については、「AWS アカウントの認証情報レポートの取得」を参照してください。
最近使用された IAM ユーザー、ユーザーグループ、ロール、ポリシーを特定します。手順については、「IAM の最終アクセス情報の表示」を参照してください。

アカウントに対する不正なアクセスや変更を特定する

手順については、「特定の IAM ユーザー、ロール、および AWS アクセスキーのアカウントアクティビティをモニタリングするにはどうすればよいですか?」を参照してください。また、「AWS アカウントでの異常なリソースアクティビティをトラブルシューティングするにはどうすればよいですか?」も参照してください。

不正なリソースや IAM ユーザーの作成を特定する

想定外のサービス、リージョン、アカウントへの請求など、リソース不正な使用状況を特定するには、以下を確認します。

注: AWS アカウントに関連する料金と使用状況は、AWS Cost Explorer を使用して確認することもできます。詳細については、「Cost Explorer で使用率とコストを分析する方法を教えてください。」を参照してください。

AWS アカウントで不正なアクティビティがあった場合

重要: アカウントでの通常と異なるアクティビティに関する通知を AWS から受け取った場合は、まず後述の手順を実行します。その後、完了したアクションの確認を添えて、AWS サポートセンターの通知に返信します。

公開されているアカウントアクセスキーをローテーションして削除する

公開されているアカウントアクセスキーについては、AWS サポートから送信された通常と異なるアクティビティに関する通知で確認します。キーが一覧表示されている場合は、それらのキーについて次の手順を実行します。

新しい AWS アクセスキーを作成します。
新しいアクセスキーを使用するようアプリケーションを変更します。
元のアクセスキーを非アクティブ化します。
重要: 元のアクセスキーはまだ削除しないでください。元のアクセスキーは非アクティブ化するだけです。
アプリケーションに問題がないことを確認します。問題がある場合は、元のアクセスキーを一時的に再アクティブ化して問題を修正します。
元のアクセスキーを非アクティブ化にしてもアプリケーションが完全に機能するのであれば、元のアクセスキーを削除します。
不要になった、または作成しなかった AWS アカウントのルートユーザーアクセスキーを削除します。

詳細については、「AWS アクセスキーを管理するためのベストプラクティス」と「IAM ユーザーのアクセスキーの管理」を参照してください。

権限がない可能性のある IAM ユーザー認証情報をローテーションする

次の手順を実行します。

IAM コンソールを開きます。
左側のナビゲーションペインで、**[ユーザー]**を選択します。AWS アカウントの IAM ユーザー一覧が表示されます。
一覧の一番上にある IAM ユーザーの名前を選択します。IAM ユーザーの [概要] ページが開きます。
[許可] タブの [許可ポリシー] セクションで、「AWSCompromisedKeyQuarantineV2」という名前のポリシーを探します。このポリシーがユーザーにアタッチされている場合は、そのユーザーのアクセスキーをローテーションします。
アカウントの IAM ユーザーごとに手順3と手順4を繰り返します。
自分が作成したものではない IAM ユーザーを削除します。
自分で作成して保持しようとしている IAM ユーザーすべてのパスワードを変更します。

一時的なセキュリティ認証情報を使用している場合は、「IAM ロールの一時的なセキュリティ認証情報の取り消し」を参照してください。

許可されていないアクティビティの有無を AWS CloudTrail ログで確認する

次の手順を実行します。

AWS CloudTrail コンソールを開きます。
左側のナビゲーションペインで **[イベント履歴]**を選択します。
許可されていないアクティビティ (アクセスキー、ポリシー、ロール、一時的なセキュリティ認証情報の作成など) の有無を確認します。
重要: [イベント時間] を確認して、リソースが最近作成されたかどうか、および通常と異なるアクティビティと一致しているかどうかを確認してください。
許可されていないと判断したアクセスキー、ポリシー、ロール、一時的なセキュリティ認証情報は削除します。

詳細については、「Working with CloudTrail」を参照してください。

認識されない、または不正なリソースを削除する

次の手順を実行します。

1. AWS マネジメントコンソールにサインインします。その後、アカウントのすべてのリソースが自ら起動したリソースであることを確認します。前月と現在の使用状況について、必ず確認と比較を行います。すべてのリソースをすべての AWS リージョンで (これまでにリソースを起動したことがないリージョンも含めて) 探すようにしてください。また、次のリソースタイプには特に注意してください。

2. 認識されない、または不正なリソースを削除します。手順については、「AWS アカウントで不要になったアクティブなリソースを終了するにはどうすればよいですか?」を参照してください。

重要: 調査対象のリソースをそのままにしておく必要がある場合は、当該リソースをバックアップすることを検討します。たとえば、規制、コンプライアンス、または法的な理由で EC2 インスタンスを保持する必要がある場合は、インスタンスを終了する前に ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-snapshot.html)Amazon EBS スナップショットを作成[ します。

バックアップしたリソースを復元する

バックアップを維持するようにサービスを設定した場合は、当該バックアップを前回の既知の侵害されていない状態から復元します。

特定のタイプの AWS リソースを復元する方法の詳細については、次を参照してください。