AWS アカウントで異常なリソースアクティビティをトラブルシューティングするにはどうすればよいですか?

最終更新日: 2021 年 10 月 19 日

リソースを作成し、アクセスを制限する AWS Identity and Access Management (IAM) ユーザーを特定したいと考えています。

簡単な説明

予期せずに開始された新しいサービスなどの不正なアカウントアクティビティは、AWS 認証情報が侵害されていることを示唆している可能性があります。悪意のあるユーザーは、認証情報を使用してアカウントにアクセスし、ポリシーで許可されているアクティビティを実行できます。詳細については、AWS アカウントの不正なアクティビティに気付いた場合の対応方法および AWS カスタマーアグリーメントを参照してください。

解決方法

侵害された IAM ユーザーとアクセスキーを特定します。次に、それらを無効にします。AWS CloudTrail を使用して、侵害された IAM ユーザーに関連付けられた API イベント履歴を検索します。

次の例では、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが予期せず起動しました。

注: これらの手順は、一時的なセキュリティ認証情報ではなく、長期的なセキュリティ認証情報に適用されます。一時的な認証情報を無効にするには、一時的なセキュリティ認証情報の許可を無効にするを参照してください。

Amazon EC2 インスタンス ID を特定する

  1. Amazon EC2 コンソールを開き、[Instances] (インスタンス) を選択します。
  2. EC2 インスタンスを選択し、[Description] (説明) タブを選択します。
  3. インスタンス ID をコピーします。

インスタンスの起動に使用される IAM アクセスキー ID とユーザー名を見つける

  1. CloudTrail コンソールを開き、[Event history] (イベント履歴) を選択します。
  2. [Filter] (フィルター) ドロップダウンリストを選択し、[Resource name] (リソース名) を選択します。
  3. [Enter resource name] (リソース名の入力) フィールドに EC2 インスタンス ID を貼り付け、デバイスで Enter キーを押します。
  4. RunInstances の [Event name] (イベント名) を展開します。
  5. AWS アクセスキーをコピーし、[User name] (ユーザー名) を書き留めます。

IAM ユーザーを無効にし、バックアップ IAM アクセスキーを作成してから、侵害されたアクセスキーを無効にする

  1. IAM コンソールを開き、[Search IAM] (検索 IAM) バーに IAM アクセスキー ID を貼り付けます。
  2. ユーザー名を選択し、[セキュリティ認証情報] タブを選択します。
  3. コンソールパスワードで、[管理] を選択します。
    注意: AWS マネジメントコンソールのパスワードが [無効] に設定されている場合は、このステップをスキップできます。
  4. コンソールアクセスで、[無効]、[適用] を順に選択します。
    重要: アカウントが無効になっているユーザーは、AWS マネジメントコンソールにアクセスできません。ただし、ユーザーがアクティブなアクセスキーを持っている場合、API コールを使用して AWS のサービスにアクセスできます。
  5. 指示に従って、アプリケーション (コンソール) を中断せずに IAM ユーザーのアクセスキーを切り替えます
  6. 侵害された IAM アクセスキーについては、[Make inactive] (非アクティブにする) を選択します。

侵害されたアクセスキーによるアクティビティの CloudTrail イベント履歴を確認する

  1. CloudTrail コンソールを開き、ナビゲーションペインで [Event history] (イベント履歴) を選択します。
  2. [Filter] (フィルター) ドロップダウンメニューを選択し、[AWS access key] (AWS アクセスキー) フィルターを選択します。
  3. [Enter AWS access key] (AWS アクセスキーを入力してください) フィールドに侵害された IAM アクセスキー ID を入力します。
  4. API 呼び出し RunInstancesイベント名を展開します。
    注意: 過去 90 日間のイベント履歴を表示できます。

CloudTrail イベント履歴を検索して、セキュリティグループまたはリソースがどのように変更されたか、および EC2 インスタンスを実行、停止、開始、終了する API コールを特定することもできます。

詳細については、Viewing events with CloudTrail event history を参照してください。