AWS アカウントの不正なアクティビティに気付いた場合はどうすればよいですか?

最終更新日: 2022 年 6 月 24 日

AWS アカウントで不正なアクティビティが疑われる場合は、まず次の操作を行って、そのアクティビティが不正であるかどうかを確認します。

• アカウントの AWS Identity and Access Management (IAM) アイデンティティによって実行された承認されていないアクションを特定します。
• アカウントへの不正アクセスや変更を特定します。
• 承認されていないリソースまたは IAM ユーザーの作成を特定します。

その後、不正なアクティビティが見つかった場合は、この記事の「AWS アカウントに不正なアクティビティがあった場合」セクションの指示に従ってください。

注:アカウントにサインインできない場合は、「自分の AWS アカウントにアクセスできない場合はどうすればいいですか?」を参照してください。

アカウントの IAM アイデンティティによって実行された不正なアクションを特定する

1. 各 IAM ユーザーパスワードまたはアクセスキーが最後に使用された時間を特定します。手順については、「AWS アカウントの認証情報レポートの取得」を参照してください。
2. 最近使用された IAM ユーザー、ユーザーグループ、ロール、およびポリシーを特定します。手順については、「IAM の最終アクセス情報の表示」を参照してください。

アカウントに対する不正アクセスや変更を特定する

手順については、「特定の IAM ユーザー、ロール、および AWS アクセスキーのアカウントアクティビティをモニタリングするにはどうすればよいですか?」を参照してください。 また、「AWS アカウントで異常なリソースアクティビティをトラブルシューティングするにはどうすればよいですか?」も参照してください。

承認されていないリソースまたは IAM ユーザーの作成を特定する

想定されていないサービス、リージョン、アカウントへの請求など、承認されていないリソースの使用を特定するには、次を確認してください。

• アカウントのコストと使用状況レポート
• AWS Trusted Advisor チェックリファレンス
• AWS マネジメントコンソールの [請求] ページ

注: AWS Cost Explorer を使用して、AWS アカウントに関連付けられている料金と使用量を確認することもできます。詳細については、「Cost Explorer により使用量と使用状況を分析するにはどうすればよいですか?」を参照してください。

重要: アカウントに関する通知を AWS から受け取った場合は、まず AWS Support Center の通知に返信してください。その後、次を実行します。

すべての AWS アクセスキーをローテーションおよび削除する

1. 新しい AWS アクセスキーを作成します。
2. 新しいアクセスキーを使用するようにアプリケーションを変更します。
3. 元のアクセスキーを非アクティブ化します。
   重要: 元のアクセスキーはまだ削除しないでください。元のアクセスキーのみを非アクティブ化します。
4. アプリケーションに問題がないことを確認します。問題がある場合は、元のアクセスキーを一時的に再アクティブ化して問題を修正します。
5. 元のアクセスキーを非アクティブ化した後にアプリケーションが完全に機能する場合は、元のアクセスキーを削除します。
6. 不要になった、または作成しなかった AWS アカウントのルートユーザーアクセスキーを削除します。

詳細については、「AWS アクセスキーを管理するためのベストプラクティス」と「IAM ユーザーのアクセスキーの管理」を参照してください。

許可されていない可能性がある IAM ユーザーの認証情報をローテーションする

1. IAM コンソールを開きます。
2. 左側のナビゲーションペインで、[Users] (ユーザー) を選択します。AWS アカウントの IAM ユーザーのリストが表示されます。
3. リストの最初の IAM ユーザーの名前を選択します。IAM ユーザーの [Summary] (概要) ページが開きます。
4. [Permissions] (許可) タブの [Permissions policies] (許可ポリシー) セクションで、AWSExposedCredentialPolicy_DO_NOT_REMOVE という名前のポリシーを探します。ユーザーがこのポリシーをアタッチしている場合は、ユーザーのアクセスキーをローテーションします。
5. アカウントの各 IAM ユーザーについて、ステップ 3 と 4 を繰り返します。
6. 作成していない IAM ユーザーを削除します。
7. 自分が作成したもののうち、保持するすべての IAM ユーザーのパスワードを変更します。

一時的なセキュリティの認証情報を使用する場合は、「IAM ロールの一時的なセキュリティ認証情報の取り消し」を参照してください。

認識できない、または承認されていないリソースを削除する

1.    AWS マネジメントコンソールにサインインします。その後、アカウントのすべてのリソースが自ら起動したリソースであることを確認します。すべての AWS リージョン (これまでにリソースを起動したことがないリージョンも含む) でリソースを確認してください。また、次のリソースタイプにも特に注意してください。

• Amazon EC2 インスタンスと Amazon マシンイメージ (AMI) (停止状態のインスタンスを含む)
• Amazon Elastic Block Store (Amazon EBS) ボリュームとスナップショット
• AWS Lambda 関数とレイヤー

2.    認識されていない、または許可されていないリソースをすべて削除します。手順については、「AWS アカウントで不要になったアクティブなリソースを終了するにはどうすればよいですか?」を参照してください。

重要: 調査のためにリソースを保持する必要がある場合は、それらのリソースをバックアップすることを検討してください。例えば、規制、コンプライアンス、または法的な理由で EC2 インスタンスを保持する必要がある場合は、インスタンスを終了する前に Amazon EBS スナップショットを作成します。

バックアップしたリソースを復旧する

バックアップを維持するようにサービスを設定した場合は、侵害されていないことが判明している最新時点のそれらのバックアップを復旧します。

特定のタイプの AWS リソースを復元する方法の詳細については、次を参照してください。

• Restoring from an Amazon EBS snapshot or an AMI (Amazon EBS スナップショットまたは AMI からの復元)
• DB のスナップショットからの復元 (Amazon Relational Database Service (Amazon RDS) DB インスタンス)
• 以前のバージョンの復元 (Amazon Simple Storage Service (Amazon S3) オブジェクトバージョン)

アカウント情報を確認する

AWS アカウントの次の情報がすべて正しいことを確認します。

• アカウント名とメールアドレス
• 連絡先情報 (電話番号が正しいことを確認してください)
• その他の連絡先

注: AWS アカウントのセキュリティのベストプラクティスの詳細については、「自分の AWS アカウントとそのリソースをセキュアにするためのベストプラクティスについて教えてください」を参照してください。