自分の IAM ユーザーまたはロールに対して、Amazon GuardDuty の結果タイプ「UnauthorizedAccess:IAMUser/TorIPCaller」または「Recon:IAMUser/TorIPCaller」のアラートが届くのはなぜですか?

所要時間1分
0

Amazon GuardDuty が UnauthorizedAccess:IAMUser/TorIPCaller または Recon:IAMUser/TorIPCaller 結果タイプのアラートを検出しました。

簡単な説明

UnauthorizedAccess:IAMUser/TorIPCaller および Recon:IAMUser/TorIPCaller 結果タイプは、AWS Identity and Access Management (IAM) の ID 認証情報またはアクセスキーを使用して Tor 出口ノードの IP アドレスから AWS への API オペレーションが実行されたことを示します。例えば、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの作成、アクセスキー ID のリスト、または IAM アクセス許可の変更を試みると、このエラーが発生することがあります。これらの結果タイプは、IAM ID 認証情報またはアクセスキーが不正なアクティビティと関連付けられていることを示す場合もあります。詳細については、[タイプの検索] を参照してください。

解決方法

GuardDuty を使用して IAM アクセスキーを見つけ、AWS CloudTrail を使用して AWS API アクティビティを識別します。

  1. GuardDuty 結果の検索と分析の指示に従います。
  2. 結果の詳細ペインで、IAM アクセスキー ID を書き留めます。
  3. CloudTrail を使用して IAM アクセスキーの API アクティビティを検索する方法の手順に従います。

アクティビティが AWS 認証情報の正当な使用であることが確認できたら、次のことが可能になります。

アクティビティが AWS 認証情報の正当な使用ではないことを確認した場合は、すべての AWS 認証情報が侵害されていると見なすのがセキュリティのベストプラクティスです。以下の手順に従って、侵害された AWS 認証情報を修正します。

詳細については、「AWS アカウントで不正なアクティビティに気付いた場合はどうすればよいですか?」を参照してください。


関連情報

不注意で AWS アクセスキーを公開した場合の対処方法

AWS公式
AWS公式更新しました 1年前
コメントはありません

関連するコンテンツ