自分の IAM ユーザーまたはロールに対して、Amazon GuardDuty の結果タイプ「UnauthorizedAccess:IAMUser/TorIPCaller」または「Recon:IAMUser/TorIPCaller」のアラートが届くのはなぜですか?
最終更新日: 2020 年 12 月 16 日
Amazon GuardDuty が UnauthorizedAccess:IAMUser/TorIPCaller または Recon:IAMUser/TorIPCaller 結果タイプのアラートを検出しました。
簡単な説明
UnauthorizedAccess:IAMUser/TorIPCaller および Recon:IAMUser/TorIPCaller 結果タイプは、AWS Identity and Access Management (IAM) の ID 認証情報またはアクセスキーを使用して Tor 出口ノードの IP アドレスから AWS への API オペレーションが実行されたことを示します。例えば、EC2 インスタンスの作成、アクセスキー ID のリスト、または IAM アクセス許可の変更を試みると、このエラーが発生することがあります。これらの結果タイプは、IAM ID 認証情報またはアクセスキーが不正なアクティビティを持っていることを示すこともあります。詳細については、AWS CloudTrail ベースの結果をご参照ください。
解決方法
GuardDuty を使用して IAM アクセスキーを見つけ、AWS CloudTrail を使用して AWS API アクティビティを識別します。
- 手順に従って、GuardDuty の検出結果を表示および分析します。
- 結果の詳細ペインで、IAM アクセスキー ID を書き留めます。
- CloudTrail を使用して IAM アクセスキーの API アクティビティを検索する方法の手順に従います。
- 指示に従って、IAM エンティティ認証情報が正当に使用されたかどうかを確認します。
アクティビティが AWS 認証情報の正当な使用ではないことを確認した場合は、AWS アカウントで不正なアクティビティに気付いた場合はどうすればよいですか? をご参照ください。