請求書を見たときではもう遅い!アカウント侵害に早く気づくには

AWS アカウントが第三者に不正利用されている疑いがあるときの検知方法をお伝えします
2021.06.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

AWSアクセスキーセキュリティ意識向上委員会って何?

昨今、AWSのアクセスキーを漏洩させてしまうことが原因でアカウントへの侵入を受け、 多額の利用費発生・情報漏洩疑いなど重大なセキュリティ事案が発生するケースが実際に多々起きています。

そこで、アクセスキー運用に関する安全向上の取組みをブログでご紹介する企画をはじめました。

アクセスキーを利用する場合は利用する上でのリスクを正しく理解し、 セキュリティ対策を事前に適用した上で適切にご利用ください。

はじめに

アカウント侵害とは?

攻撃者が他人のアクセスキーを入手し、勝手に IAM ユーザーを作ったり高額な EC2 インスタンスを実行したりすることを指しています。

アクセスキーは主に以下のパターンで流出すると考えられます。

  • GitHub 等のパブリックなリポジトリに公開した
  • GitHub 等のプライベートなリポジトリに置いていたが、GitHub 等を騙ったフィッシングメールの URL にアクセスし、ユーザーとパスワードを入力してしまった
  • 所有者が不正に外部に漏らした

アカウント侵害はどうしたら気づける?

AWS 側で不審な動きを検知した場合、以下 2 つの方法で AWS からの連絡があります。

  1. ルートユーザーのメールアドレスあてのメール (*1)
  2. Personal Health Dashboard

(*1) 弊社メンバーズのお客様の場合は、別途弊社ポータルに登録されているメールアドレスへの通知となります

1. ルートユーザーのメールアドレスあてのメール

こんなメールがきたら、本来のアクセスキー所有者の過失あるいは故意により、アクセスキーが攻撃者の手に渡った可能性が高いです。 落ち着いて速やかにアクションを取りましょう。

メールのタイトル例 (不定)

  • Your AWS Access Key is Exposed for AWS Account <アカウントID>
  • Action Required: Irregular activity in your AWS account: <アカウントID>
  • AWS Account Credentials [AWS Account: <アカウントID>]
  • Action Required: Suspected fraudulent activity in your AWS account <アカウントID>

メールの文面例 (不定)

Hello, Your AWS Account (AWS Access Key XXXXXXXXXXXX), may be compromised! Please review the following notice and take immediate action to secure your account. This poses a security risk to your account and other users and could lead to excessive charges from unauthorized activity or abuse.

(機械翻訳) AWS アカウント (AWS アクセス キー XXXXXXXXXXXX) が侵害されている可能性があります。次の通知を確認し、アカウントを保護するための措置を早急に講じてください。これは、あなたのアカウントや他のユーザーにセキュリティ上のリスクをもたらし、不正なアクティビティや悪用による過剰な請求につながる可能性があります。

取るべきアクション

メールの本文にも記載されていますが、事前に下記の記事を読んでおくと、いざというときの心づもりができるかと思います。既存のアクセスキーはすべて削除し、新しいキーに差し替える必要があります。そのため、業務影響範囲・使用箇所・キーの差し替えに要する時間などをあらかじめ見積もっておくのが望ましいです。

契約サービスやベンダーからのメールはついつい読まずに放置してしまいがちですが、このメールだけは見落としてはなりません!お使いのメールシステムの転送機能を活用し、メールの見落としや発見遅れを防止しましょう。

2. Personal Health Dashboard

マネジメントコンソール上部にある「ベル」のマークからダッシュボードに飛ぶと、ユーザーのリソース使用状況に応じた AWS からのアラートやガイダンスが確認できます。

ここに「Risk credentials compromise suspected」の通知が表示されている場合、それは 1 と同様アカウント侵害疑惑のアラートです。

このイベントを自動で捕捉して Slack 通知することもできます。実装方法は下記ブログをご参照ください。アカウント侵害の場合「サービス名」には "Health"、「特定のサービス」には "RISK" を指定します。

おわりに

ふだんからセキュリティ事故のないよう運用を徹底することが重要ですが、それでも万が一ということがあります。 AWS からの重要なアラートにいち早く気づけるよう、本記事が参考になれば幸いです。