自分の IAM ユーザーまたはロールに対して、Amazon GuardDuty の結果タイプ「UnauthorizedAccess:IAMUser/TorIPCaller」または「Recon:IAMUser/TorIPCaller」のアラートが届くのはなぜですか?

最終更新日: 2020 年 2 月 19 日

Amazon GuardDuty が UnauthorizedAccess:IAMUser/TorIPCaller または Recon:IAMUser/TorIPCaller 結果タイプのアラートを検出しました。

簡単な説明

UnauthorizedAccess:IAMUser/TorIPCaller および Recon:IAMUser/TorIPCaller 結果タイプは、AWS Identity and Access Management (IAM) の ID 認証情報またはアクセスキーを使用して Tor 出口ノードの IP アドレスから AWS への API オペレーションが実行されたことを示します。たとえば、EC2 インスタンスの作成、アクセスキー ID のリスト、IAM アクセス許可の変更を試みると、このエラーが発生することがあります。これらの結果タイプは、IAM ID 認証情報またはアクセスキーが侵害されていることも示しています。詳細については、 An API was invoked from a Tor exit node IP address を参照してください。

解決方法

GuardDuty を使用して IAM アクセスキーを見つけ、AWS CloudTrail を使用して AWS API アクティビティを識別します。

  1. 手順に従って、GuardDuty の結果を表示および分析します。
  2. 結果の詳細ペインで、IAM アクセスキー ID を書き留めます。
  3. CloudTrail を使用して IAM アクセスキーの API アクティビティを検索する方法の手順に従います。
  4. 侵害された AWS 認証情報を修正する手順に従います。
  5. AWS 認証情報の正当な使用によるアクティビティでないことが確認された場合は、 私の AWS アカウントは侵害受けた可能性がありますを参照してください。

この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合