「アクセスキーがGitHubにpushされていた」
「古いEC2インスタンスのSSHが全開放されていた」
「管理者権限のIAMユーザーにMFAが設定されていなかった」

「まさかうちが」と思うかもしれませんが、これらは今日も起き続けています。
CloudTrail×GuardDutyを軸に、ありがちな侵入口を潰すチェックリストを紹介します。

1. AWSへの侵害パターン TOP 3

パターン①:アクセスキーの漏えい

IAMユーザーのアクセスキー(Access Key ID+Secret Access Key)が:

  • GitHubにcommitされる
  • S3バケットに公開される
  • CI/CDのログに出力される

攻撃者はこれを入手し、EC2のスポーンや大量のS3アクセスを実行します。

パターン②:過剰権限IAMロールの悪用

AdministratorAccess相当の権限を持つロールが:

  • EC2のInstance Profileに割り当てられている
  • Lambda関数に割り当てられている

EC2やLambdaが侵害されると、AWSアカウント全体が支配されます。

パターン③:S3バケットの誤公開

設定ミスでBlock Public Accessが無効になっているバケットに、機密データが格納されているケース。

2. CloudTrailで"今何が起きているか"を見る

CloudTrailはAWS上のすべてのAPI呼び出しを記録します。
以下のイベントを優先的に監視しましょう。

高優先度の監視イベント:

# 権限昇格の可能性
iam:CreateAccessKey
iam:AttachUserPolicy
iam:PutUserPolicy

# 認証情報の不審な使用
sts:AssumeRole(普段使わないRegionから)
ConsoleLogin(MFAなし・異常な時間帯)

# データ流出の可能性
s3:GetObject(大量・短時間)
ec2:DescribeInstances(偵察行動)

これらをSentinelやAthena等でKQL/SQLクエリとして監視します。

3. GuardDutyの活用:AIによる自動検知

AWS GuardDutyは、CloudTrail・VPC Flow Logs・DNSログを機械学習で分析し、脅威を自動検知します。

代表的な検知カテゴリ:

  • Recon(偵察):ポートスキャン、IAM偵察
  • CryptoCurrency(マイニング):EC2でのマイニング通信
  • UnauthorizedAccess(不正アクセス):異常な場所からのAPIコール
  • Stealth(隠蔽行動):CloudTrailの無効化、Config変更

GuardDutyの重要な前提:全Regionで有効化すること
攻撃者はあなたが使っていないRegionにEC2を立ち上げることがあります。

4. Colorkrew Securityの考え方


AWS侵害の入口はほぼパターンが決まっています。CloudTrail×GuardDutyで継続監視する。このステップが最初の防衛線です。

「自社のAWS環境、本当に正しく設定できているか確認したい」という場合は、まず専門家へ相談するのが最短ルートです。Colorkrew Securityでは、AWS環境のセキュリティ設計・監査・インシデント対応を支援しています。