AWSアカウントは乗っ取られていないか?検知と防御の徹底ガイド

AWSアカウントが侵害された疑いがある場合は、以下のステップで調査を進めましょう。

1. 想定外のリソース利用がないかを確認する: AWSリソースと利用パターンを継続的に監視しましょう。データ転送量の急増や操作回数の異常な伸びは、問題の兆候となり得ます。AWSはAWS Trusted AdvisorやAWS Cost Explorerなど、利用状況の把握に役立つさまざまなツールを提供しています。
2. 請求額を確認する: AWSの請求額が突如として急増している場合、リソースが不正利用されている可能性があります。請求書に大きな変動がないかを確認し、Billingダッシュボードでサービス別の料金を精査しましょう。Billingダッシュボードでサービスごとの料金を確認することで、不正利用を示唆する請求額の大きな変化を特定できます。
3. IAM Access Analyzer: AWS IAM Access Analyzerを活用してIAMユーザーのアクティビティを精査しましょう。使われていないIAMユーザーは削除し、外部エンティティと共有しているIAMロールを見直します。パスワードの変更日にも目を配り、セキュリティ衛生を保ってください。
4. IAM認証情報レポート: IAM認証情報レポートを定期的に確認し、新規ユーザー、パスワード変更、最終利用日時をチェックしましょう。想定外のアクティビティを見つけたら、ただちに是正措置を講じ、追加の調査を行ってください。
5. CloudTrailを確認する: AWSアカウント侵害の可能性を調査するには、AWS CloudTrailを利用します。CloudTrailはAWS環境のアクティビティを記録し、ログを30日間保持します。デフォルト検索ではリソースに変更を加えたイベント(読み取り専用ではないイベント)が表示されます。通常とは異なるログイン、想定外の「assume role」イベント、偵察活動(不審なAPI呼び出しなど)、その他の異常な挙動に注意を払いましょう。AWS CloudTrailのログを精査し、不正アクセスや異常なAPIアクティビティがないかを確認します。AWSはAWSマネジメントコンソールへのすべてのサインインイベントを記録しているため、CloudTrailのログから心当たりのないサインインがないかをチェックしてください。通常と異なる時間帯や見覚えのないIPアドレスからのイベントには特に注目しましょう。普段の利用パターンを把握しておくことで、侵害の兆候となる異常を見抜きやすくなります。
6. IAMポリシーとロールを精査する:

IAMポリシーとロールを見直し、改変されていないかを確認しましょう。想定外の変更があれば、攻撃者にアカウントへのアクセス権を奪われた可能性があります。 7. AWS Security Hubを確認する:

AWS Security Hubは、AWSアカウント全体のセキュリティアラートとセキュリティ態勢を一元的に把握できるサービスです。潜在的なセキュリティ問題の特定に役立ちます。

調査が完了したら、次はアカウントを保護するフェーズです。以下のステップを実施しましょう。

1. インシデント対応計画を策定する: AWSに特化したインシデント対応計画を整備し、定期的に見直しましょう。チームがセキュリティインシデント発生時に迅速に動けるよう訓練し、必要に応じてAWSサポートと連携できる体制を整えます。

2. AWSアカウントのルートユーザーパスワードを変更する: アカウント保護における重要な第一歩です。ただちにルートユーザーのパスワードを変更し、不正アクセスを防ぎましょう。

3. アクセスキーをローテーション・削除する: ルートおよびIAMのアクセスキーを定期的にローテーション・削除し、認証情報の漏洩による不正アクセスのリスクを抑えます。

4. 不要なリソースを削除する: 自身が作成していないリソースを定期的に確認・削除し、攻撃対象領域と侵害ポイントを最小限に抑えましょう。

5. アクティブなセッションを失効させる: IAMロールの一時的なセキュリティ認証情報を失効させる。すべてのアクティブセッションを失効させ、過去のセッションで発行された一時認証情報を無効化しましょう。不正アクセスを防ぐ上で極めて重要なステップです。

6. アカウントエイリアスを作成する: アカウントIDをエイリアスでカスタマイズし、セキュリティと利便性を高めましょう。アカウントIDをそのまま公開することは避け、アクセス時にはアカウントエイリアスのリンクを共有してください。

7. 多要素認証(MFA)を有効化する: すべてのアカウントでMFAを導入し、セキュリティ層を厚くしましょう。ログイン時にMFAを求めることで、認証の堅牢性が高まります。

8. パスワードポリシー: 強固なパスワードポリシーを定め、最低10文字以上、90日ごとの有効期限、過去のパスワードの再利用禁止などを必須要件としましょう。

9. AWS CloudWatchアラームを設定する: AWS CloudWatchでは、特定のイベントやしきい値に対してアラームを設定できます。複数回のログイン失敗やセキュリティグループ設定の変更など、侵害の兆候となり得るアクティビティに対してアラームを設定しましょう。

10. 請求アラートとAWS Cost Anomaly Detection: コスト予算と請求アラートを設定し、支出を監視・コントロールしましょう。さらにAWS Cost Anomaly Detectionを有効化すれば、機械学習によって想定外かつ異常な支出を検出できます。

11. IAM管理者アカウントを作成する: 日常業務でルートアカウントを使うのは避けましょう。代わりに管理者権限を持つIAMアカウントを作成し、ルートアカウントは厳重に保管しておきます。

12. AWS GuardDutyを有効化する:

    AWS GuardDutyは、悪意ある挙動や不正な挙動を継続的に監視する脅威検知サービスです。アカウント侵害を示唆する不審なAPI呼び出しや不正なデプロイの検出に役立ちます。

13. AWS CloudFormation向けIAM Policy Validator: cfn-policy-validatorとしても知られるこのオープンソースのコマンドラインツールは、IAM Access Analyzerを用いてCloudFormationテンプレート内のIAMポリシーを精査できる強力なツールです。

    CI/CDパイプラインにシームレスに組み込める設計で、IAMポリシーに問題が検出されるとデプロイを停止します。

    このツールをセキュリティ戦略に組み込むことで、IAMポリシーの変更をデプロイ前に徹底的に検証でき、AWSアカウントのセキュリティを大幅に強化できます。

14. AWS Configルールを活用する: AWS Configを使えば、コンプライアンスやセキュリティ基準を徹底するためのルールを設定できます。ネットワーク構成の変更や新規IAMユーザーの作成など、侵害の兆候となり得る特定のアクティビティを監視するカスタムルールを作成しましょう。

15. VPCフローログを有効化する: Virtual Private Cloud(VPC)フローログは、VPCを出入りするトラフィック情報を取得します。これらのログを分析することで、見覚えのないIPアドレスへの通信や、想定外のデータ転送量の急増といった異常を検出できます。

16. 定期的に脆弱性をスキャンする: AWS Inspectorやサードパーティ製ソリューションを使い、AWSリソースの脆弱性評価を定期的に実施しましょう。検出された脆弱性は速やかに対処し、攻撃者による悪用リスクを抑えます。

本記事では、AWSアカウントを安全に保つためのポイントをひととおりご紹介しました。ただし、セキュリティは一度対策すれば終わりというものではありません。

DoiT InternationalのAWSセキュリティ専門家は、お客様のAWS組織全体を深く掘り下げる包括的なAWSセキュリティ態勢アセスメントを提供しています。本アセスメントは業界のベストプラクティスに基づき、AWSリソースに対して約300項目のチェックを実施し、構成が最適化されているかを確認します。市場をリードする27のセキュリティベンチマークを活用し、徹底的かつ厳密な評価を行います。

潜在的な脆弱性を洗い出し、AWSセキュリティ態勢を強化するための実践的な提言をご提供することが私たちの目標です。AWSセキュリティの専門家にお任せいただき、AWS環境を最高水準のセキュリティで運用しましょう。

詳細を知りたい方やサービスにご関心のある方は、お気軽にお問い合わせください。お問い合わせはこちらから。