AWS マネジメントコンソールに作成した覚えのないリソースが表示されます。または、AWS リソースまたはアカウントが不正アクセスされた可能性があるという通知を受け取りました。どうすればよいですか?
アカウントが不正アクセスされた疑いがある場合、またはアカウントが不正アクセスされたという通知を AWS から受け取った場合は、以下のタスクを実行してください。
- AWS ルートアカウントのパスワードと、すべての IAM ユーザーのパスワードを変更する。
- ルートアクセスキー、および AWS Identity and Access Management (IAM) のアクセスキーのすべてを削除または 交換します。
- アカウントでお客様が作成しなかったリソース、特に稼働中の EC2 インスタンス、EC2 スポット入札、または IAM ユーザーをすべて削除します。
- AWS サポートから受け取った通知には、AWS サポートセンター経由で応答してください。
AWS ルートアカウントのパスワードと、すべての IAM ユーザーのパスワードを変更する
ルート AWS パスワードの変更に関する情報は、「AWS アカウントのルートユーザーのパスワードの変更」を参照してください。IAM ユーザーのパスワードの変更に関する情報は、「IAM ユーザーのパスワードの管理」を参照してください。
アカウントの不正使用を避けるためのベストプラクティスは、パスワードを定期的に変更することです。AWS セキュリティのベストプラクティスに関する情報については、AWS Security Best Practices ホワイトペーパーを参照してください。
不正使用された可能性がある AWS アクセスキーのすべてを削除または交換する
不要になった、またはお客様が作成しなかった AWS アクセスキーを見つけたら、それらを削除してください。アクセスキーの削除の詳細については、「How do I delete an AWS access key?」を参照してください。
アプリケーションが、現在公開アクセスキーを使用している場合、公開されたキーを新しいものに変えてください。これを行うには、2 番目のキーを作成し、新しいキーを使用するようにアプリケーションを変更してから、最初のキーを無効化 (削除しないでください) してください。アプリケーションに問題が生じた場合は、最初のキーを一時的に再有効化します。アプリケーションが完全に機能しており、最初のキーが無効化状態であれば、最初のキーを削除します。
AWS アクセスキーは、アカウントパスワードと同じ方法で取り扱い、知らない人物や信頼できない人物にアクセスキーを提供したり、公共ウェブサイトやコードリポジトリにアクセスキーを公開したりしないでください。そして、AWS アクセスキーを使用または管理するときは、ベストプラクティスを考慮してください。AWS セキュリティのベストプラクティスについては、AWS Security Best Practices ホワイトペーパーを参照してください。
認識されない、または承認されていないリソースをすべて削除する
AWS アカウントにサインインして、アカウントで現在実行されているすべてのリソースが、お客様が起動したものであることを確認します。これまで AWS リソースを一切起動したことのないリージョンを含め、すべての AWS リージョンをチェックするようにしてください。稼働中の EC2 インスタンス、EC2 スポット入札、または IAM ユーザーには特に注意を払ってください。特定の AWS サービスに関連付けられているリソースの削除方法がよくわからない場合は、そのサービスに関する AWS ドキュメントを参照してください。
AWS サポートに問い合わせる。
アカウントに問題がある可能性について AWS から連絡を受けた場合は、AWS サポートセンターにサインインし、AWS サポートから要請されたすべての情報を準備して、通知に応答してください。
ご自身のアカウントにサインインできない場合、AWS サポートからの支援をリクエストするために、サポートに問い合わせるフォームをご利用ください。
追加の質問または懸念があるが、通知は受け取っていないという場合は、AWS サポートセンターで新しい AWS サポートケースを作成してください。
注意事項: 連絡には、完全な AWS アクセスキー、パスワード、またはクレジットカード情報など、機密情報となり得る情報は一切含めないでください。
AWS Git プロジェクトを使って不正アクセスの形跡をスキャンする
AWS は、インストールしてアカウントの保護に役立てることができる Git プロジェクトを提供しています。
- Git Secrets では、秘密情報 (例: アクセスキー) についてマージ、コミット、およびコミットメッセージをスキャンできます。禁止された正規表現を検知した場合、Git Secrets はこれらのコミットが公開リポジトリに投稿されないようにすることができます。
- AWS Health と AWS Trusted Advisor Exposed Keys CloudWatch Event Monitor は、AWS Health から、または Trusted Advisor によって Amazon CloudWatch Events を生成するための AWS Step Functions と AWS Lambda の使用に役立ちます。アクセスキーが不正使用された形跡がある場合、これらのプロジェクトはそのイベントを自動で検知、ログ、および緩和する助けとなります。
