まえがき

cloudpack 木村(富)です。

本記事はAWS Abuse Report(不正使用)について案内させていただきます。

<AWS 不正使用行為>

不正使用行為とは、AWS のお客様のインスタンスやその他のリソースで観察される、
悪意のある行動、不快な行動、違法な行動、その他のインターネットサイトを
損なう可能性のある行動です。

不正使用と侵害に対する AWS の対応

<AWS 不正使用に関する通知>
AWSより不正使用が疑われる行為を検出した場合、以下のような件名のアラートメールが送付されます。
緊急性は非常に高く、早急な対応と対策を実施する必要があります。

・Your Amazon EC2 Abuse Report

AWSのTrust & Safetyチームから通知があります。
Trust & Safetyチームは状況の確認や対処した内容の報告先になります。
トラブルシューティングや技術的な問い合わせは受け付けられませんのでご注意ください。
そのためリソースの保護、侵害されたシステムの復旧、再発予防策の実施はAWSアカウント利用者側の責任によって行う必要があります。

◾️原因

不正使用の原因は様々ですがAWS通知にその原因が含まれています。
例として以下のようなものがあります。

・implicated in hosting content that resembles a phishing website
フィッシングサイトに利用されている疑いがある。

・implicated in activity that resembles the sending of spam or unsolicited email
スパムメールまたは迷惑メールの送信に関与している疑いがある。

・implicated in hosting a website that may contain content forbidden in the AWS Acceptable Use Policy
AWS利用規約で禁止されているコンテンツを含む可能性のあるウェブサイトホスティングに関与している疑いがある。

・implicated in activity that indicates that it may be infected with malware and may be part of a botnet
マルウェアに感染している可能性があり、ボットネットの一部として活動に関与している疑いがある。

・implicated in activity which resembles scanning remote hosts on the internet for security vulnerabilities
インターネット上のリモートホストのセキュリティ脆弱性をスキャンする行為に類似した行為への関与が疑われている。

・implicated in activity which resembles web-crawling
ウェブクローリングに類似した活動に関与している疑いがある。

また、以下の内容も記載されています。

<共通事項>
・AWSアカウントID
・リージョン
・EC2インスタンスID

<各不正使用内容により異なる>
・スパムメールの送信レポート、および送信内容
・IPアドレス
・ポート番号
・ログ

これらの内容はAWSの規約違反に該当する行為となりますので十分にご注意ください。

AWS 利用規定
AWS サービス利用規約

◾️調査、対応、対策について

AWSからの通知内に記載されている事項を元にシステム、データ、ユーザーアカウントなどを確認してください。
CloudTrailログ、VPCフローログ、OSログ、アプリケーションログ、GuardDutyの検出結果などを分析し、攻撃の手口、侵入経路、不正操作の内容などを特定してください。
その後、なぜインシデントが発生したか根本的な原因(脆弱性、設定ミス、人的要因)を調査してください。
AWS側でも具体的な侵害状況は不明なのでAWSアカウント利用者側にて調査、対応、対策を行ってください。
残念ながら様々な要因があるため具体的にこれを実施すれば良いという方法は挙げられません。

<参考資料>
・使用しているリソースに関する不正使用報告を AWS から受信した場合に、やるべきことを教えてください。

◾️AWSへの報告

調査、対応、対策を実施されましたらその内容と共にAWSのTrust & Safetyチームに英語で返信してください。
※英語圏のAWS Trust & Safety チームへの回答となるため、英語で返信してください。
調査に時間がかかるようでしたら期限を含めてその内容を返信してください。
(調査にいつまで期間が必要か確認されます)
なるべく速やかに対応してください。
AWSが危険と判断した場合はAWS側でリソースを停止する場合があります。
さらに対応されない場合はAWSアカウント自体が利用停止となる恐れがあります。

【AWSへの報告内容】
以下の内容をAWSから不正使用の連絡があったメールに対して英語で回答してください。
※実際にAWS Trust & Safety チームから回答を求められる内容を翻訳しております。

①通知された不正使用の根本原因は何ですか?
問題の発生源を特定してください。発生源がどのようにしてお客様のAWSリソースを使用して、通知された不正行為を実行できたのかを説明してください。(具体的にご記入ください。)

②原因に対処するためにどのような措置を講じられましたか?
報告された問題を阻止し、再発を防ぐためにどのような措置を講じましたか?(詳細を具体的にご記入ください。)

◾️AWS から不正使用の連絡がない場合

AWS から不正使用の連絡がなく、AWSアカウント利用者側で不正使用に気付く場合もあります。
この場合、速やかにAWSに報告してください。
・AWS リソースの不正使用を報告するにはどうすればよいですか?

あとがき

AWS 不正使用を発生させないためにもAWSドキュメントで推奨されているベストプラクティスをご検討ください。
また、AWSが推奨しているAmazon GuardDutyやAWS Trusted Advisorの利用を検討してください。

本通知を受信したが、どのように確認、対応したら良いかわからないとの連絡を受けることがあります。
このような事態に陥らないためにも、運用にご不安がございましたら弊社運用・保守サービスをご検討いただけますと幸いです。

AWS運用・保守サービス