人生やまあり

大学卒業後IT会社に就職してITをやってます。

AWSのアカウントのっとり、認証キーの奪取に注意!数百万の高額請求される事案が発生しています。


<スポンサードリンク>

<追記>
AWSアカウント乗っ取り防止策については下記エントリに詳細をまとめました。こちらもご参照ください。



実際に私の身の回りでも複数発生しているのですが、アカウントがのっとられたり、認証キーを不正利用されたりする事案が発生しているようです。
この場合、個人情報が読み取られるばかりではなく、高額のインスタンスなどを利用されることで高額請求されるなどのおそれもあります。

アカウントがのっとられた事案

どこかでルートアカウントのパスワード、もしくはIAMアカウントのID、パスワードがもれて、cc2.8xlargeなどの高スペックのインスタンスを複数リージョンに作成されている事案が実際に私のまわりでも発生ました。個人利用アカウントにも関わらず700万円の請求らしいです。これからAWS側と交渉だとか。。。
簡単にスパコンレベルのインスタンスを起動できてしまうAWSは、ハッカーや、後述するリンクの仮想通貨採掘などに利用されるケースが多々あるようです。

認証キーが不正される事案

アクセスキー・シークレットキーをスクリプトに直書きした状態でgithubやネット上に公開されて、認証キーを不正利用された事案があるようです。admin権限の認証キーが漏れた場合、AWSアカウント解約以外のすべての操作ができてしまうため要注意です。

AWSの認証キーを奪われて仮想通貨を採掘される攻撃が発覚:海外テック情報局|gihyo.jp … 技術評論社

S3やDynamoDBが気付いたら不正利用されている事案

S3へのアクセスや、DynamoDBへのアクセスも認証キーを利用するため、不正操作されることで、すべてのデータが消滅したり、個人情報をごっそり抜かれてしまうなどのおそれがあります。

注意と対策

パスワードについては皆さん結構注意深く利用される方が多いですが、特に認証キーに対する扱いがずさんなケースが多々見られます。対策として下記のような利用を徹底するようにしてください。

  • IAMアカウントには必ずアクセス元IPを制限する。
  • ルートアカウントはGoogle認証などの2要素認証を導入する。
  • describe以外の権限をもつIAMユーザはアクセル元IP制限+2要素認証を導入する。
  • 認証キーは可能な限り利用せず、IAMロールで対応する。
  • 認証キーは定期的に変更する。
  • 認証キーのスクリプト直書きはやめる。

AWSアカウント乗っ取り防止策については下記エントリに詳細をまとめました。こちらもご参照ください。

Amazon Web Services クラウドデザインパターン 設計ガイド

Amazon Web Services クラウドデザインパターン 設計ガイド