AWS アカウントでの異常なリソースアクティビティをトラブルシューティングするにはどうすればよいですか?

簡単な説明

新しいサービスが予期せず開始されるなど、自分のアカウントで不正なアクティビティがある場合は、AWS 認証情報が侵害されている可能性があります。悪意のある人は、認証情報を不正使用してアカウントにアクセスし、ポリシーで許可されているアクティビティを実行することができます。詳細については、「自分の AWS アカウントで不正なアクティビティに気づいた場合はどうすればよいですか?」を参照してください

解決策

侵害された IAM ユーザーとアクセスキーを特定し、無効にします。次に、AWS CloudTrail を使用して、侵害された IAM ユーザーに関連付けられている API イベント履歴を検索します。

次の例では、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが予期せず起動しました。

注: 次の解決策は一時的なセキュリティ認証情報ではなく、長期的なセキュリティ認証情報に適用されます。一時的な認証情報を無効にするには、「一時的なセキュリティ認証情報のアクセス権限を無効にする」を参照してください。

Amazon EC2 インスタンス ID を特定する

次の手順を実行します。

1. Amazon EC2 コンソールを開き、[インスタンス] を選択します。
2. EC2 インスタンスを選択し、[説明] タブを選択します。
3. [インスタンス ID] をコピーします。

インスタンスの起動に使用した IAM アクセスキー ID とユーザー名を見つける

次の手順を実行します。

1. CloudTrail コンソールを開き、[イベント履歴] を選択します。
2. [フィルター] で [リソース名] を選択します。
3. [リソース名を入力] フィールドに、インスタンス ID を入力し、Enter を選択します。
4. [RunInstances] の [イベント名] を展開します。
5. [AWS アクセスキー] をコピーし、[username] を書き留めます。

IAM ユーザーを無効にし、バックアップ IAM アクセスキーを作成してから、侵害されたアクセスキーを無効にします。

次の手順を実行します。

1. IAM コンソールを開き、[IAM の検索] バーに IAM アクセスキー ID を入力します。
2. ユーザー名を選択し、[セキュリティ認証情報] タブを選択します。
3. [コンソールサインイン] で、[コンソールアクセスを管理] を選択します。
   注: AWS マネジメントコンソールのパスワードが [無効] に設定されている場合は、このステップをスキップできます。
4. [コンソールアクセスを管理] で [無効]、[適用] の順に選択します。
   重要: アカウントがオフになっているユーザーは、AWS マネジメントコンソールにアクセスできません。ただし、ユーザーがアクティブなアクセスキーを持っている場合は、引き続き API コールを使用して AWS サービスにアクセスできます。
5. IAM ユーザーのアクセスキーを更新します。
6. 侵害された IAM アクセスキーについては、[非アクティヴにする] を選択します。

侵害されたアクセスキーのアクティビティについてCloudTrail イベント履歴で確認する

次の手順を実行します。

1. CloudTrail コンソールを開きます。
2. ナビゲーションペインで、[イベント履歴] を選択します。
3. [フィルター] で [AWS アクセスキー] を選択します。
4. [AWS アクセスキーを入力します] フィールドに、侵害された IAM アクセスキー ID を入力します。
5. RunInstances API コールの [イベント名] を展開します。
   注: 過去 90 日間のイベント履歴を表示できます。

CloudTrail イベント履歴を検索して、セキュリティグループまたはリソースがどのように変更されたかを確認することもできます。

詳細については、「Working with CloudTrail event history」を参照してください。

関連情報

IAM でのセキュリティのベストプラクティス

アクセスキーを保護する

IAM ポリシーを管理する

AWS セキュリティ監査のガイドライン