AWSのサイバー攻撃についてまとめてみた（Abuse-report、Irregular activity編）

どうも、SCSKの齋藤です。

今回はAWS上のサイバー攻撃が起こった際に通知される、「Abuse-report」、「Irregular activity」についてまとめてみました。

この2種類の通知が来た際、それぞれどのような対応をすれば良いのかをまとめていきたいと思います。
また、なぜそのような攻撃が起きるのかの原因も簡単に記載したいと思います。

このブログで記載する原因はあくまで一例であり、悪意のある攻撃者は様々な隙をついて攻撃しますので、このブログで記載する原因以外もあることを念頭においてください。

Abuse-report
Irregular activity
まとめ

Abuse-report

Abuse-reportとは？

Abuse-reportという通知は、EC2インスタンスを侵害された場合に、AWSから通知されるメールの件名となります。
メールには、なぜAbuse-reportが送付されたかの理由が英文で書かれております。

過去にあったケースですと、DDoS攻撃に加担した挙動や、ポートスキャンを実施したのを確認した場合に送付されることが多いようです。
ちなみに、Abuse-report内に該当のインスタンスIDが記載されています。

受信したらどうしたら良いか？

EC2インスタンスが侵害されているので、速やかにセキュリティグループなどで通信を遮断してください。

その後、原因調査をしてください。主な原因は後述するので、それらが該当するかをまず確認すると良いでしょう。
原因調査後、インスタンスの安全が確認できない場合は、AMIを含めてインスタンスを削除した方が良いです。（バックドアが仕掛けられている可能性があるためです）

原因が判明し、恒久的な対応や再発防止策がなされた場合、AWSへその旨を返信する必要があります。
このAWSへの返信がされないと、AWSアカウントが停止される可能性もありますのでご注意ください。

また、インスタンスを停止するだけでは、恒久的な対応とはならないため、削除をすることを推奨します。削除しなくても良いと判断した場合は、その理由をAWSに報告した方が良いです。

なぜEC2インスタンスの侵害が起こるのか？

過去事例ですと、セキュリティグループを開けたことが主な原因です。
SSHやRDPの設定で、アクセス元を0.0.0.0にしていると、どこからでも入れてしまうため侵害されやすいです。

アクセス制御は必ず実施しましょう！

Irregular activity

Irregular activityとは？

Irregular activityとは、AWSアカウントへの侵害を確認した場合に、AWSから通知されるメールの件名です。
こちらも、なぜ送付されたのか理由が書かれておりますが、件名の通り不審な挙動がAWSアカウントであった場合に通知されます。

例えば、1日で大幅な課金が発生したり、普段使っていないリージョンでの課金が発生したりした場合です。

受信したらどうしたら良いか？

AWSアカウントの侵害なので、ルートユーザーか、IAMユーザーの侵害が考えられます。

しかし、Irregular activityのメールだけですと、それを特定するのが難しいです。
そのため、CloudTrailを確認する必要があります。

CloudTrailのログを見て、意図しない操作を行なっているユーザーが、侵害されたユーザーとなります。
そのユーザーを特定したら、真っ先にコンソールログインの無効化を実施すると良いでしょう。（IAMユーザーの場合）
ルートユーザーの場合、パスワード変更などを実施すると良いでしょう。

その後、原因調査をしてください。主な原因は後述するので、それらが該当するかをまず確認すると良いでしょう。
原因調査後、不正に作られたリソースが他にないかCloudTrailをくまなくチェックし、念の為全て削除を実施してください。原因が判明し、恒久的な対応や再発防止策がなされた場合、AWSへその旨を返信する必要がございます。

このAWSへの返信がされないと、AWSアカウントが停止される可能性もありますのでご注意ください。