AWSのアクセスキーは、クラウド上の資産を操作するための「鍵」とも言える、極めて重要な認証情報です。このキーが漏洩すれば、誰かがあなたになりすまして、AWSを自由に操作できる状態になるため、外部からの侵入・情報窃取・リソース悪用といった被害が一気に広がる恐れがあります。
アクセスキーの漏洩に気づいたとき、「とりあえず削除して終わり」という対応だけでは不十分なことが多く、実際にはすでに攻撃者によって操作が行われていたり、裏口(バックドア)を残されたままになっているケースも存在します。
本記事では、漏洩が疑われたときに行うべきの初動ステップと実際の漏洩事例をもとにした対策のポイントを専門家の視点から解説します。
目次
AWSアクセスキーとは
AWSアクセスキーは、AWSをプログラムやコマンドラインから操作するためのユーザー名とパスワードのセットのような認証情報です。主にAWS CLIやSDKを通じてAPIを実行する際に使用され、「誰が」「どんな権限で」操作しているかを証明するために使われます。
このアクセスキーは、主にIAMユーザーに関連付けられた長期的な認証情報として発行されます。利便性は高いものの、もし漏洩すれば、インターネット上のどこからでも不正アクセスが可能になり、最悪の場合は全AWS環境が制御されるリスクがあります。
AWSアクセスキーが漏洩した場合の危険性とは?
アクセスキーが漏洩すると、その情報を手にした第三者が、まるであなた本人であるかのようにAWS環境にアクセスし、自由に操作を実行できるようになります。
この認証情報は一度外部に出ると、数分以内に自動で悪用されることも多く、インシデントの中でも特に緊急性が高いタイプの情報漏洩です。
なりすまし操作によるクラウド操作
アクセスキーIDとシークレットアクセスキーがそろうと、攻撃者でもそのユーザーになりすまして、正当な操作としてAWS APIを通じた実行が可能になります。
S3の読み書き、EC2の起動・停止、IAM設定変更などがすべて「本人の操作」として処理されるため、セキュリティツールでも検出が困難となる場合があります。
不正なリソース利用と高額課金
EC2やECSを大量に立ち上げて仮想通貨のマイニングなどに使われた場合、数十万〜数百万円規模のAWS請求が発生することもあります。
情報漏洩・設定改ざん・ログの削除
攻撃者はS3バケットやRDS、DynamoDBのデータを盗み出すだけでなく、CloudTrailの設定やログそのものを改ざん・削除して、痕跡を消す行動を取ることもあります。
組織全体のAWS環境が乗っ取られる
漏洩したアクセスキーがAdministratorAccessなどの管理者権限を持っていた場合、IAMユーザー追加・ポリシー変更・キーの再発行といった一連の操作を通じて、組織全体が事実上制御下に置かれるリスクがあります。
>>AWSへハッキング?セキュリティ観点から事例・対処・対策まで解説
アクセスキーが悪意ある第三者の手に渡った場合、その影響は技術的損失だけでなく、信頼・法的責任・風評リスクなどビジネス全体に波及する恐れがあります。
少しでも漏洩の可能性がある場合は、被害の進行と証拠の消失を防ぐためにも、早めに専門の調査会社へ相談することを強くおすすめします。
AWSのアクセスキーが漏洩した事例
AWSアクセスキーの漏洩は、個人の開発環境だけでなく、大企業や大学機関でも実際に発生している深刻なセキュリティ事故です。ここでは代表的な2件の漏洩事例を紹介します。
GitHub公開によるUberの個人情報漏洩
開発者がGitHubにアクセスキーを誤って公開し、約5,700万人の個人情報が流出しました。
- 発覚日時:2017年11月
- 影響人数:約5,700万人
- 被害内容:氏名・メール・電話番号などの顧客情報が漏洩
- 原因:開発者がアクセスキーをGitHubに誤って公開
Uberは2016年、開発者が誤ってGitHubのパブリックリポジトリにAWSアクセスキーを含むコードを公開。そのキーをハッカーに利用され、S3から顧客データが不正にダウンロードされました。この件は発覚後もしばらく公表されず、企業の透明性や危機対応への信頼を大きく損ねる結果となりました。
PyPi経由で大学の機密データが流出
開発者がPyPiにアップロードした設定ファイル内にキーが含まれ、外部から大学データにアクセス可能な状態になりました。
- 発覚日時:2021年2月
- 影響人数:不明
- 被害内容:ジョンズ・ホプキンス大学の機密情報が外部から閲覧可能に
- 原因:設定ファイル内のキーを含んだままPyPiに公開
Infosysの開発者が誤って、AWSアクセスキーを含んだ設定ファイルをPythonパッケージとしてPyPiに公開。その中に含まれたキーを利用して、大学機関のAWSリソースにアクセスされる事態に発展しました。
出典:THE STACK
このような事例からも、AWSアクセスキーはたとえ一時的にでも公開状態になると、短時間で自動収集・悪用される可能性があることが分かります。
事故発生後の初動対応やログ調査が遅れると、加害者の追跡も困難になり、損害が拡大する恐れがあります。少しでも不安があれば、すぐに専門調査会社に相談してください。
AWSアクセスキーが漏洩した時の対処法
AWSアクセスキーが漏れた場合、まずはアクセスキーの無効化を最優先に行い、その後で影響調査と再発防止を進めるのが基本です。無効化は被害拡大を防ぐために必要ですが、ログ自体が消えるわけではありません。
① アクセスキーを即時無効化
IAMコンソールまたはCLIで、漏洩したアクセスキーをすぐに「無効化」または「削除」してください。加えて、GitHubや共有ファイルなど、漏洩元となった公開箇所も非公開化・削除し、新たな第三者のアクセスを防ぎます。
② CloudTrailログで影響を調査
CloudTrailを使い、該当キーが使われた操作履歴(API呼び出し、アクセス元IP、時間帯など)を確認します。S3・EC2・IAM・Lambdaなどのサービスで以下を重点的に確認しましょう。
- 不審なインスタンスやバケットの作成
- データの読み出し・削除・ポリシー変更
- IAM設定の変更や新たなユーザー作成
ログ調査にはCloudTrail以外にも、CloudWatch LogsやGuardDutyのアラートなども活用できます。
③ フォレンジック調査の検討
以下のような場合は、フォレンジック調査(専門調査)の実施が推奨されます。
- 影響範囲が不明、または調査に限界がある
- 漏洩元が曖昧で、再発リスクが排除できない
- 社外報告・保険申請・法的対応が必要
フォレンジック調査では、次のような成果が得られます。
- 侵入経路と漏洩原因の特定
どこから侵入されたのか、何が漏れたのかを時系列で整理します。 - 影響範囲の定量化
被害にあったアカウントやリソース、漏洩データの件数などを報告書にまとめます。 - 再発防止につながる改善策
攻撃手法や脆弱性の分析から、具体的な是正案を提案します。
また、アクセスキーが複数ある場合や、どのキーが漏れたか不明なときは、
IAM認証情報レポートを用いて全ユーザーのキーを順番にローテーションまたは無効化する対応も視野に入れるべきです。
不安がある状態で放置すると、侵害が進行している場合や痕跡が消えてしまう可能性があります。被害最小化のため、速やかに専門家への相談をご検討ください。
デジタルデータフォレンジックへ相談
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数47,431件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
