AWSへの不正アクセス、あなたの会社は大丈夫?
クラウドサービスの普及とともに、AWS(Amazon Web Services)を利用する企業が急増している中、サイバー攻撃者たちもAWSコンソールを狙った攻撃を活発化させています。実際、私がフォレンジック調査で関わった事例では、ある中小企業がAWSアカウントに不正侵入され、大量のEC2インスタンスを立ち上げられて数百万円の請求が発生したケースもありました。
このような被害を防ぐには、不正アクセスの「兆候」を早期に発見し、適切に可視化することが不可欠です。今回は、NTT東日本が発表したAWSコンソールへの不正アクセス可視化についての解説記事を参考に、現役CSIRTメンバーの視点から実践的な対策をお伝えします。
なぜAWSの不正アクセス可視化が重要なのか?
急増するクラウドターゲット攻撃
近年、サイバー攻撃者はオンプレミスからクラウド環境へと標的をシフトしています。その理由は明確です:
- クラウドリソースは金銭的価値が高い(仮想通貨マイニング、データ窃取など)
- 多くの企業がセキュリティ設定を適切に行えていない
- 一度侵入に成功すれば、大量のリソースを短時間で悪用できる
私が調査した事例では、攻撃者がAWSアカウントに侵入後、わずか30分で数十台のEC2インスタンスを立ち上げ、仮想通貨マイニングを開始していました。被害企業は翌朝に高額請求に気づくまで、全く攻撃に気づいていませんでした。
従来の監視では限界がある
AWSのような複雑なクラウド環境では、従来のログ監視だけでは不十分です。膨大な操作ログの中から「異常」を見つけ出すには、効果的な可視化技術が必要になります。
検知すべき「不審な兆候」の4つのパターン
NTT東日本の解説記事では、以下の4つの異常パターンを重点的に監視することを推奨しています:
1. 地理的な異常:普段と違う場所からのアクセス
具体例:
- 普段は日本国内からのみアクセスされるアカウントに、ロシアや中国からのログイン
- 複数の国から短時間でのログイン試行
- VPNやTorネットワークを経由した不審なアクセス
実際の事例では、ある企業のAWSアカウントに東欧からのアクセスがあり、調査の結果、フィッシングメールで盗まれた認証情報が悪用されていることが判明しました。
2. 時間的な異常:ありえない時間帯でのアクセス
具体例:
- 深夜3時にEC2インスタンスの大量作成
- 休日にIAMポリシーの変更
- 通常の業務時間外でのS3バケットアクセス
3. 量的な異常:短時間での大量の試行
具体例:
- 1分間に100回以上のログイン失敗
- 複数のIPアドレスから同時多発的なアクセス試行
- API呼び出し回数の急激な増加
4. 権限に関する異常:特権アカウントの不審な利用
具体例:
- 普段使われないルートアカウントでのログイン
- IAMユーザーの権限昇格試行
- 新しいアクセスキーの作成
AWS不正アクセス可視化の中核サービス4選
効果的な可視化システムを構築するには、以下のAWSネイティブサービスを組み合わせることが重要です:
1. AWS CloudTrail(記録・監視カメラ)
CloudTrailは、AWSアカウント内で行われるほぼ全ての操作を記録する基幹サービスです。
主な機能:
- API呼び出しの詳細ログ記録
- ユーザー認証情報とアクセス元情報の記録
- リソース変更の履歴追跡
2. Amazon GuardDuty(検知・賢い警備員)
機械学習を活用して、悪意のあるアクティビティを自動検知するサービスです。
主な機能:
- 異常なAPI呼び出しパターンの検知
- マルウェア通信の検出
- データ窃取の兆候検知
3. Amazon Athena(分析・データ分析官)
S3に保存されたログに対して、標準SQLでクエリを実行できるサービスです。
主な機能:
- 複雑な条件でのログ分析
- 時系列データの詳細調査
- カスタムレポート作成
4. Amazon QuickSight(可視化・レポーター)
分析結果を直感的なダッシュボードで可視化するBIサービスです。
主な機能:
- リアルタイムダッシュボード作成
- インタラクティブなグラフ表示
- 自動アラート機能
効果的なダッシュボード設計の4つの視点
可視化ダッシュボードを設計する際は、以下の4つの視点を組み合わせることが重要です:
1. サマリー視点
- 全体的な状況の概要
- アラート数の推移
- 主要メトリクスのKPI
2. 地理視点
- アクセス元の地理的分布
- 異常地域からのアクセス可視化
- 国別アクセス統計
3. 時間視点
- 時系列でのアクセス傾向
- 異常時間帯の特定
- 攻撃パターンの時間的分析
4. 詳細視点
- 個別インシデントの詳細情報
- ユーザー別アクティビティ
- リソース別操作履歴
個人・中小企業でもできる実践的対策
最低限実装すべきセキュリティ対策
大企業でなくても、以下の対策は必ず実装しましょう:
- 多要素認証(MFA)の必須化
ルートアカウントとIAMユーザー全てにMFAを設定 - CloudTrailの有効化
全リージョンでのログ記録を開始 - GuardDutyの有効化
機械学習による自動脅威検知を開始 - 定期的なアクセスキー管理
不要なアクセスキーの削除と定期ローテーション
セキュリティ投資の重要性
「うちは小さな会社だから狙われない」という考えは危険です。実際、攻撃者は規模を問わず、脆弱な環境を狙い撃ちしています。適切なアンチウイルスソフト
やVPN
の導入は、長期的に見れば被害コストよりもはるかに安価な投資です。
また、企業向けのWebサイト脆弱性診断サービス
を定期的に実施することで、潜在的な脆弱性を事前に発見・対処できます。
インシデント発生時の初動対応
万が一、不正アクセスの兆候を発見した場合の初動対応も重要です:
- 即座の影響範囲確認
どのリソースが影響を受けているか特定 - 不審なアクティビティの停止
該当アカウント・リソースの無効化 - 証拠保全
ログの複製と分析用データの確保 - 関係者への報告
経営陣とセキュリティチームへの即座の報告
まとめ:AWSセキュリティは「見える化」から始まる
AWSコンソールへの不正アクセス対策は、まず「見える化」から始まります。適切な可視化システムを構築することで、攻撃の兆候を早期に発見し、被害を最小限に抑えることが可能です。
今回紹介した4つのサービス(CloudTrail、GuardDuty、Athena、QuickSight)を組み合わせることで、企業規模を問わず効果的なセキュリティ監視体制を構築できます。
セキュリティは一度設定すれば終わりではありません。継続的な監視と改善が必要です。まずは基本的な設定から始めて、段階的にセキュリティレベルを向上させていきましょう。
