昨今はクラウドサービスを利用を想定した+αの対策を行い備える必要がある

引用:独立行政法人情報処理推進機構情報セキュリティ10大脅威 2023

と言われます。

本記事ではAWSサービスを利用する上で、

● セキュリティ上対応が必要な場合に届くメール
● AWSサービス条件に違反した場合に届くメール

についてご案内させていただきます。

アクセスキーの漏洩や、AMI、Snapshotがパブリックに公開された場合に届くメール

メール件名 (例)

Action Required: Your AWS account XXXXXXXXXXXX is compromised

原因

アクセスキーの漏洩や、AMI、Snapshotがパブリックに公開されている。

対策しない場合

Snapshotを含むAMIがパブリックな環境に公開されてしまっており、他アカウントでもインスタンスが起動できる状態になるため、データが漏洩してしまう可能性があります。
また、アクセスキーはAWS認証に用いられるため、漏洩した場合はAWS上の重要なデータが漏洩し不正利用されてしまう可能性があります。

過去には以下のような事例がありました
・インスタンスが仮想通貨の発掘に利用されたためAWSからの多額の請求が発生した
・S3が不正に操作されデータが削除された
・個人情報が外部に流出した

引用:コンピュータウイルス・ 不正アクセスの届出事例

対策

アクセスキー漏洩
早急にIAMユーザのパスワード変更およびAWS上でのキー削除とローテーションを実施いただき、利用状況および課金状況から不正利用がされていないかをご確認ください。

AMIやSnapshotの公開
AMIおよびSnapshot設定をご確認いただき、
必要に応じてAWSからのパーミッション設定のご案内を参考に設定を変更いただければと思います。

参照

  • AWS アカウントの不正なアクティビティに気付いた場合はどうすればよいですか

https://repost.aws/ja/knowledge-center/potential-account-compromise

  • すべてのルートおよび AWS Identity and Access Management (IAM) アクセス キーをローテーションおよび削除します

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_access-keys.html

  • 許可されていない可能性のある IAM ユーザーを削除し、他のすべての IAM ユーザーのパスワードを変更します

https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html

AWS リソースの不正使用の際に届くメール

メール件名 (例)

Your Amazon EC2 Abuse Report [YYYYYYYYYYY-Y] [AWS ID XXXXXXXXXXXX]

原因

以下のような不正行為に使用されていると疑われる場合はAWSからメールが届きます。

スパム AWS が所有する IP アドレスから不要な E メールを受信しているか、AWS リソースを使用してウェブサイトやフォーラムをスパムで送信している。
ポートスキャン 1 つ以上の AWS が所有する IP アドレスがサーバー上の複数のポートにパケットを送信していることがログに示されている。また、これがセキュリティで保護されていないポートを検出しようとする試みであると考えられる。
サービス拒否 (DoS) 攻撃 1 つ以上の AWS が所有する IP アドレスが使用され、リソース上のポートがパケットでフラッディングされていることがログに示されている。また、これがサーバーまたはサーバーで実行されているソフトウェアに過度な負荷をかけ、またはこれらをクラッシュさせる試みであると考えられる。
侵入の試行 ログには、AWS が所有する 1 つ以上の IP アドレスがリソースへのログインに使用されていることが示されている。禁止されているコンテンツのホスティング: AWS リソースが禁止されているコンテンツ (違法なコンテンツや著作権が侵害されたコンテンツなど) のホスティングや配信に使用されている証拠がある。
マルウェアの配布 AWS リソースを使用して、ソフトウェアを配布している証拠があり、そのソフトウェアは、インストールされているコンピュータやマシンを侵害したり、危害を加えたりするために意図的に作成されたものである。

引用:AWS リソースの不正使用を報告するにはどうすればよいですか?

AWSの利用規約に抵触する内容となるため、早急に状況確認・対応が必要となります。
対応しなかった場合、最悪、アカウントの利用自体が停止となりますので注意が必要です。

本メール受信後、48時間以内に初期応答が行われない場合は、再度警告のメールが送信され、該当リソースに対し、AWSからの制限が行われることもございます。

また、米国のAbuse Report Teamに対して現状を英語でメール返信する必要があります。

対策

メールのレポートに記載されている内容により対応が異なりますが、リソースの削除などを実施する必要があります。

AWS SES 関連に関わるメール

Amazon SESとは電子メール プラットフォームのことです。

SESを利用する際、Amazon Simple Email Service (Amazon SES) アカウントの合計のバウンス率と苦情率に関連した重要なメトリクスがあり、
AWSサービス条件には以下の判断を行った場合、SES へのアクセスを停止または終了、任意 の SES E メールの送受信をブロックまたは拒否する場合がありますと明記されております。

• SES E メールまたは SES E メールに含まれる貴社コンテンツの当社によるスキャンにより、不正使用されたまたは品質の低い E メール(「スパム」など)であることが判明した場合。
• SES E メールが未達となり当社に返送されてきた場合、または貴社の SES E メールに関連して当社 が不正使用の苦情(第三者からの苦情を含む)を受け取った場合。
•「宛先不明のための返送」または苦情に対して貴社が当社に提出した送信元または ReturnPath メールアドレスが、正常に E メールを受信しない場合。

引用:AWS のサービス条件

SES関連のメールは3つに分類されます

  • SES Vulnerable Site:メール送信に使われるクレデンシャル情報が漏洩している可能性があります
  • SES Bounce Rate:バウンスレートの高騰のお知らせ
  • SES Complaint:メールに対する苦情率

引用:自分の Amazon SES の送信アカウントがレビュー対象になっている、またはメールを送信する機能が一時停止されています。どうすればこれを解決できますか。

そもそもバウンス率と苦情率を何%にしたらよいのか

バウンス率
アカウントのバウンス率は 5% 未満に維持する必要があります。

苦情率
アカウントの苦情率は 0.1% 未満に維持する必要があります。

引用:バウンス率、苦情率

● SES Vulnerable Site

メール件名 (例)

Amazon SES Vulnerable Site Review Period for AWS Account XXXXXXXXXXXX

原因

メール送信に使われるクレデンシャル情報が漏洩している可能性があります。

対策しない場合

AWSへ連絡しなかった場合、または問題が 14 日以内に解決されない場合は、Amazon SES を使用して E メールを送信する機能が一時停止されます。

対策

アカウントのバウンスと苦情の通知を確認して、悪用の原因を特定する必要があります。
また、AWS マネジメント コンソールを見直して、不正アクセスまたは侵害されたアクセスの兆候がないかどうかを確認する必要があります。
侵害されたアクセスには、具体的に作成または承認していないリソースの使用が含まれる場合があります。

  • ダッシュボードを使用して、アカウントのバウンス率と苦情率を監視することもできます。

https://dockas.aws.amazon.com/ses/latest/DeveloperGuide/monitor-sender-reputation.html

● SES Bounce Rate

メール件名 (例)

Amazon SES Bounce Review Period for AWS Account XXXXXXXXXXXX
Amazon SES Bounce Probation for AWS Account XXXXXXXXXXXX

原因

バウンスレートの高騰のお知らせ(10%超えるものが対象)

対策しない場合

AWSへ連絡しなかった場合や対応しなかった場合、Amazon SES を使用して E メールを送信する機能を一時停止されます。
対策後もバウンス率が制限を繰り返し超える場合、SES を使用してメールを送信するアカウント機能が永久に停止されます。

対策

直帰率を 5% 未満に維持することが推奨されています。

● SES Complaint

メール件名 (例)

Amazon SES Complaint Probation for AWS Account XXXXXXXXXXXX
Amazon SES Complaint Review Period for AWS Account XXXXXXXXXXXX

原因

メールに対する苦情率(受信者によるスパム報告)高騰のお知らせ(0.5%超え)

対策しない場合

AWSへ連絡しなかった場合、または送信する次の 2,700,000 E メール以内に問題が解決されない場合、Amazon SES を使用して E メールを送信する機能が一時停止します。

対策

  1. バウンスと苦情を監視するためのシステムを用意する必要があります。バウンス通知を受け取ったら、バウンスまたは苦情の原因となったアドレスへの電子メールの送信を直ちに停止し、今後そのアドレスに再度連絡しないようにする必要があります。
  2. 収集したバウンス情報を使用して、メール送信の慣行を分析し、バウンスの原因を特定します。

参照

  • Amazon SES 開発者ガイドのベスト プラクティス セクション

http://docs.aws.amazon.com/ses/latest/DeveloperGuide/best-practices-bounces-complaints.html

  • 侵害されたソースを特定する方法と、SES アカウントのセキュリティを強化する方法の詳細

https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Responding_to_SES_Events.md

こうした対応や英語でのメール返信に一抹の不安がある方へ

cloudpackの請求代行サービスに、監視・運用サービスを組み合わせていただくと、
AWSからのメールはcloudpackがフォローアップし対応いたします。

参照:AWSからのメールは見落とすな!

画像;
unDraw
ICOON MONO