危険にさらされているという AWS アカウントの問題を解決する

AWS マネジメントコンソールで作成した覚えのないリソースが表示されます。

– または –

AWS のリソースまたはアカウントが不正アクセスされた可能性があるという通知を受け取りました。どうすればよいですか?

アカウントが不正アクセスされた疑いがある場合、以下を実行してください。

AWS ルートアカウントのユーザーパスワード、および IAM ユーザーパスワードを変更します。

AWS ルートアカウントのユーザーパスワードを変更するには、「AWS アカウントのルートユーザーのパスワードの変更」を参照してください。

IAM ユーザーのパスワードを変更するには、「IAM ユーザーのパスワードの管理」を参照してください。

アカウントの不正使用を避けるためのベストプラクティスは、パスワードを定期的に変更することです。詳細については、ホワイトペーパー「AWS Security Best Practices」を参照してください。

すべての AWS アクセスキーを削除または交換する

不要になった、または作成していない AWS アクセスキーを見つけたら、それらのアクセスキーを削除します。

アプリケーションが、現在アクセスキーを使用している場合、そのキーを新しいキーに変えます。

2 番目のキーを作成し、その新しいキーを使用するようにアプリケーションを変更します。
最初のキーを無効にします (削除はしません)。
アプリケーションに問題がある場合は、一時的にキーを再有効化してください。アプリケーションが完全に機能していて、最初のキーが無効状態になったら、最初のキーを削除します。
作成していない IAM ユーザーを削除します。

AWS アクセスキーは、アカウントのパスワードを扱うのと同じ方法で扱います。

セキュリティのベストプラクティスの詳細については、「AWS Security Best Practices」ホワイトペーパーを参照してください。

危険にさらされている IAM ユーザーを削除します

IAM コンソールを開きます。
リストから各 IAM ユーザーを選択し、Permissions policies で AWSExposedCredentialPolicy_DO_NOT_REMOVE というポリシーを確認します。ユーザーにこのアタッチされたポリシーがある場合は、このユーザーを削除する必要があります。
作成していない IAM ユーザーを削除します。
作成し保持する IAM ユーザーのパスワードを変更します。

認識できない、または承認されていないリソースを削除する

AWS アカウントにサインインして、アカウントのすべてのリソースが、お客様が起動したリソースであることを確認します。これまで AWS リソースを一切起動したことのないリージョンを含め、すべての AWS リージョンをチェックするようにしてください。特に、次の点に注意してください。

特定の AWS サービスに関連付けられているリソースを削除する方法がわからない場合は、AWS ドキュメントにあるサービスのドキュメントを参照してください。

AWS サポートに問い合わせる

アカウントに関して AWS から通知を受け取った場合は、AWS サポートセンターにサインインして、その通知に返信してください。

ご自身のアカウントにサインインできない場合、お問い合わせフォームを利用して、AWS サポートからの支援をリクエストしてください。

ご質問またはご不明な点があれば、AWS サポートセンターで新しい AWS サポートケースを作成してください。

注: 連絡には、AWS アクセスキー、パスワード、またはクレジットカード情報など、機密情報となり得る情報は一切含めないでください。

AWS Git プロジェクトを使用して、不正アクセスの証拠をスキャンする

AWS では、アカウントの保護に役立つ、インストール可能な Git プロジェクトを提供しています。

Git Secrets は、秘密情報 (アクセスキー) のマージ、コミット、およびコミットメッセージをスキャンします。Git Secrets が禁止された正規表現を検出した場合、それらのコミットが公開リポジトリに投稿されるのを拒否することができます。
AWS Step Functions および AWS Lambda を使用して、AWS Health から、または Trusted Advisorで、Amazon CloudWatch Events を生成します。アクセスキーが危険にさらされているという証拠がある場合、プロジェクトが自動的にイベントを検出、記録、および軽減します。