ご利用の Alibaba Cloud アカウントの AccessKey ペアが侵害された疑いがある場合は、アカウントを保護するために直ちに対処する必要があります。侵害された AccessKey ペアは、不正なリソースアクセス、予期しない課金、および潜在的なデータ侵害につながる可能性があります。このトピックでは、侵害された AccessKey ペアに対応するために取るべき緊急の措置について説明します。
Alibaba Cloud の自動応答
Alibaba Cloud は、公に公開された AccessKey ペアを継続的に監視しています。侵害された AccessKey ペアを検出した場合、お客様のアカウントに関連付けられた連絡先情報を通じて直ちに通知します。お客様のリソースを保護するため、侵害された AccessKey ペアに制限的な保護ポリシーを自動的に適用します。このポリシーは、お客様が対処するまで高リスクの API 操作をブロックします。詳細については、「侵害された AccessKey ペアに対する制限的な保護」をご参照ください。
SMS、メール、コンソールメッセージを通じて Alibaba Cloud からの通知を常に監視してください。侵害された AccessKey ペアに関する通知を受け取った場合は、直ちに対処してください。不正なアクティビティがないかアカウントを監査する責任は、お客様にあります。
責任共有モデルに基づき、お客様はご自身の認証情報を保護する責任を負います。Alibaba Cloud は公に公開された AccessKey ペアの自動検出機能を提供しますが、すべての AccessKey ペアを管理し、保護するのはお客様の責任です。
Alibaba Cloud アカウントの侵害された AccessKey ペアへの即時対応
RAM ユーザーの侵害された AccessKey ペアへの即時対応
AccessKey ペアが使用中で、すぐにローテーションできる場合は、遅滞なく実行してください。
新しい AccessKey ペアを作成し、それを使用するようにアプリケーションを更新し、変更をテストしてから、侵害された AccessKey ペアを無効化して削除します。詳細については、「RAM ユーザーの AccessKey ペアのローテーション」をご参照ください。
AccessKey ペアが使用中で、ビジネスに支障をきたすことなくすぐにローテーションできない場合は、次の手順に従ってリスクを軽減してください。それでも、できるだけ早く AccessKey ペアをローテーションする必要があります。
ステップ 1:AccessKey ペアからの権限の取り消し
潜在的な損害を抑えるため、侵害された AccessKey ペアに関連付けられている RAM ユーザーの権限を直ちに制限します。高リスクの権限を明示的に拒否する新しいポリシーをユーザーにアタッチします。この操作は、攻撃者がリソースの削除や新規ユーザーの作成など、重大な損害を引き起こすのを防ぐのに役立ちます。
また、RAM ユーザーの既存の権限を確認し、ビジネス運用の継続に不可欠でない権限はすべて削除してください。
次のコードは、高リスクの権限を拒否するためのカスタムポリシーのサンプルです。適用する前に、このポリシーを評価し、セキュリティ要件に合わせてカスタマイズしてください。
```json { "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AddUserToGroup", "ram:AttachPolicyToGroup", "ram:AttachPolicyToRole", "ram:AttachPolicyToUser", "ram:ChangePassword", "ram:CreateAccessKey", "ram:CreateLoginProfile", "ram:CreatePolicyVersion", "ram:CreateRole", "ram:CreateUser", "ram:DetachPolicyFromUser", "ram:PassRole", "ram:SetDefaultPolicyVersion", "ram:UpdateAccessKey", "ram:SetPasswordPolicy", "ram:UpdateRole", "ram:UpdateLoginProfile", "ram:UpdateUser" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecs:DeleteInstance", "ecs:DeleteInstances", "ecs:DeregisterManagedInstance", "ecs:ReleaseDedicatedHost" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "rds:DeleteAccount", "rds:DeleteDatabase", "rds:DeleteDBInstance", "rds:DestroyDBInstance" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "oss:DeleteBucket", "oss:DeleteObject", "oss:PutBucketAcl", "oss:PutBucketPolicy" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "log:DeleteLogStore", "log:DeleteProject", "log:PutProjectPolicy", "log:DeleteProjectPolicy" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "dysms:CreateProductNew", "dysms:CreateSmsTemplateNew", "dysms:AddSmsTemplate", "dysms:SendSms", "dysms:SendBatchSms" ], "Resource": "*" } ] }詳細については、「カスタムポリシーの作成」および「RAM ユーザーへの権限付与」をご参照ください。
ステップ 2:RAM ユーザーに対する MFA の有効化
RAM ユーザーがコンソールにログインする権限を持っている場合は、セキュリティのベストプラクティスとして多要素認証 (MFA) を有効にしてください。
ステップ 3:AccessKey ペアで実行された異常な操作の確認
侵害された AccessKey ペアによって実行されたすべてのアクティビティを監査し、不正な操作を特定します。予期しないリージョンでのリソースの作成や削除、または不明な IP アドレスからの API 呼び出しなど、通常とは異なるアクティビティを探します。
次のいずれかの方法を使用して、AccessKey ペアのアクティビティを調査できます:
方法 1:RAM コンソールを使用したクイックレビュー
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
対象の RAM ユーザーのユーザー名をクリックします。
ユーザー詳細ページで、[認証] タブをクリックします。
[AccessKey] セクションで、指定された AccessKey ペアの操作履歴と最終使用情報を確認します。
方法 2:ActionTrail を使用した包括的な監査
ActionTrail コンソールにログインします。
左側のナビゲーションウィンドウで、[AccessKey ペアの監査] をクリックします。
検索ボックスで、侵害された AccessKey ID によってイベント履歴をフィルター処理し、関連するすべての API 呼び出しとユーザーアクティビティを確認します。
説明ActionTrail によってログに記録されないデータイベント (OSS でのオブジェクトアクセスなど) については、各サービスのログを個別に有効にして確認する必要があります。
監査中、他の RAM ユーザーまたは AccessKey ペアからの不審なアクティビティも探してください。攻撃者が最初の侵害された AccessKey ペアを使用して他のバックドアを作成した可能性があります。不正なアクティビティが見つかった場合:
不審なアクティビティがある正規のユーザーについては、直ちにパスワードをリセットし、MFA の使用を要求してください。
権限なく作成された RAM ユーザーはすべて削除してください。
他に侵害された AccessKey ペアが見つかった場合は、この同じプロシージャに従って権限を制限し、ローテーションしてください。
ステップ 4:異常な課金の確認
費用とコストコンソールで、請求詳細を確認し、予期しない課金がないか調べます。暗号資産 (仮想通貨) のマイニングなどの不正なリソース使用量は、コストの大幅な増加につながる可能性があります。不正なリソースが見つかった場合は、調査のために記録した後、直ちに削除してください。
予防のためのベストプラクティス
詳細については、「アクセス認証情報を使用した API 操作呼び出しのベストプラクティス」をご参照ください。