AWS乗っ取りの手口と危険性を徹底解説！最新対策を詳しく紹介

2025 11/07

2025/11/07

はじめに

本記事はAWSアカウントの乗っ取り（不正アクセス）について、実践的に学べる入門ガイドです。認証情報の漏洩や設定ミスが主な原因となり、放置するとサービス停止や機密データ流出、予期せぬ請求といった被害が発生します。例えば、盗用されたアクセスキーで仮想サーバーを起動され、暗号通貨のマイニングに悪用されるといった具体的なリスクがあります。

本章では本記事の目的と構成、対象読者を簡潔に説明します。後続の章で最新の手口、主な原因、予防策、発生時の対応手順、企業向けの運用改善策まで順に解説します。クラウド管理者、開発者、セキュリティ担当者だけでなく、AWSを利用するすべての方に役立つ内容です。読み進めることで、実践的な対策を段階的に理解できるようになります。

AWS乗っ取りの主な手口と最新事例

概要

2025年にはAmazon SESアカウントの乗っ取り被害が報告されました。攻撃者は漏洩したAWSアクセスキーを使い、大量のフィッシングメールを送信しました。認証情報の流出経路はコードリポジトリの誤公開やマルウェア感染が主で、攻撃は短時間で広範囲に及びました。

代表的な手口（具体例で説明）

認証情報の発見
GitHubや設定ファイルに誤って公開された.envや設定をスキャンしてアクセスキーを取得します。
マルウェアがブラウザ保存のパスワードやローカルの設定ファイルを吸い上げます。
権限の確認と悪用
取得したキーでまず権限を確認し（APIで呼び出しを試す）、使えるサービスを特定します。
SES権限があると、送信制限を本番モードに移行したり、送信元アドレスやドメインを登録して大量送信します。
活動の隠蔽
ログや監査設定の確認・無効化、作業ユーザーの作成や一時的な権限付与で追跡を難しくします。

2025年の最新事例の特徴

短時間で大量のフィッシングを実行し、被害範囲が大きくなりました。
攻撃者は初期に小さく試し、成功後に規模を拡大する慎重な手口を取りました。

インフォスティーラ型マルウェアの報告

複数のプラットフォーム（例：Windows、macOS、Linux）で動作するマルウェアが、ブラウザや設定ファイル、CLIの認証情報を窃取しています。
これにより企業内の複数アカウントが同時に危険にさらされるケースが増えています。

以上が主な手口と最近の事例の要点です。次章では、こうした乗っ取りを招く原因を詳しく見ていきます。

乗っ取りを招く主な原因

認証情報の漏洩

アクセスキーやパスワードが外部に出ると、即座に不正利用されます。よくある例はソースコード管理にアクセスキーを誤って置くケースや、S3の誤公開です。端末がマルウェアに感染するとキーロガーや資格情報窃取ツールで奪われます。

設定ミス

権限やネットワーク設定の誤りが狙われます。IAMで過剰な権限を付けると一つのアカウントで広範な操作が可能になります。セキュリティグループでポートを全開（0.0.0.0/0）にする、S3を公開にする等が典型例です。

認証の弱さ・多要素認証未設定

管理者やルートアカウントに多要素認証（MFA）を設定していないと、パスワードだけで侵入されます。APIキーを長期間回さない、使い回しパスワードを使う点も危険です。

サードパーティとCI/CD周りのリスク

外部ツールやCI/CDの設定に秘密情報を平文で置くと、外部サービス経由で漏れる恐れがあります。また、外部アプリに不要な権限を与える事例も増えています。

人的要因と運用不足

利用者の教育不足や手順の欠如が原因になります。ログや監査を有効にせず異常を検知できない運用も被害を拡大します。

検知の遅れ

ログ収集やアラートが整備されていないと、侵入後の活動を早期に把握できません。被害が深刻化する主な理由です。

乗っ取り被害を防ぐための対策

認証情報管理の徹底

公開リポジトリや共有場所にアクセスキーやシークレットを書かない。誤って置いた場合は速やかに無効化・削除する。
不要なキーは削除し、使用中のキーは定期的にローテーションする。例：90日ごとに更新する方針を作成する。
シークレットはAWS Secrets ManagerやParameter Storeなど安全な保管庫に入れ、アクセスをログで追跡する。
EC2やLambdaでは長期的なアクセスキーを使わず、IAMロールを利用する。

多要素認証の必須化

ルートアカウントは必ずMFAを設定する。
全てのIAMユーザーにMFAを要求するポリシーを適用する。物理トークンやTOTPアプリを推奨する。

設定の見直しと権限最小化

IAMポリシーは最小権限で設計し、必要なアクションだけを許可する。ワイルドカード（*）は避ける。
組織がある場合はSCPで危険な操作を制限する。管理者権限は限定的に付与する。
セキュリティグループは最小アクセス許可にし、不要なポートやIPは閉じる。具体例：管理用は特定IPからのみSSHを許可する。

ログ監視とインシデント対応

CloudTrailを全リージョンで有効にし、CloudWatchやS3にログを送る。重要なイベントはアラート化する。
GuardDutyやAWS Configを導入して異常検知を行う。検知時は速やかに該当ユーザーの認証情報を無効化し、アクセスキーをローテーションする。
インシデント対応手順を整備し、定期的に模擬演習を行って対応の確実性を高める。

乗っ取り発生時の緊急対応手順

概要

乗っ取りを疑ったら速やかに初動対応を行い、被害拡大を防ぎます。以下の手順に沿って対応してください。具体的な操作は事前に用意した手順書に従うと安全です。

1) 被害リソースへのアクセス遮断

影響が明らかなリソース（EC2、S3、RDS、コンテナなど）をネットワークから隔離します。例：セキュリティグループやVPCルートを一時的に変更します。
不要な公開ポートや公開バケットのアクセスを閉じます。

2) 認証情報の即時変更とMFA確認

該当するアカウントのパスワードをリセットし、アクセスキーは無効化・再発行します。例：ルートや管理者のキーを最優先で回します。
全ての管理者にMFAが有効か確認し、未設定なら即時設定を指示します。

3) ログと証拠の保全

CloudTrailやアクセスログ、監査ログをコピーして保全します。タイムスタンプを記録して改ざんを防ぎます。
影響のあるストレージやインスタンスはスナップショットを取得します。

4) 影響範囲の特定と関係者への報告

リソース一覧を作成し、データ流出や変更点を洗い出します（例：S3の公開ファイル、DBの外部接続）。
速やかに社内のインシデント対応チームと経営、必要であれば法務・顧客へ報告します。

5) 専門家への相談と外部連携

フォレンジックやクラウドベンダーのサポートに連絡し、調査支援を受けます。
証拠保全に関する指示は専門家の指示に従って進めます。

6) 原因分析と再発防止策の実施

侵入経路を特定し、該当する脆弱性を修正します（例：権限の過剰付与の見直し）。
ロール・ポリシーの最小権限化、長期アクセスキーの廃止、監視アラートの導入を行います。

7) 復旧と監視強化

信頼できるバックアップから段階的に復旧し、整合性を確認します。
復旧後も一定期間は詳細ログとアラートで監視を継続します。

チェックリスト（短縮）

リソース隔離、認証情報リセット、MFA確認、ログ保全、専門家連絡、影響範囲報告、修復・監視強化

上記を優先度高く実行し、文書化して今後の対応速度を高めてください。

企業や組織でのおすすめ運用・設定

1) Google Workspace連携時のグループメール管理

グループを管理用に分け、サービス用アカウントと人のアカウントを分離します。例：aws-admins@example.comは管理者だけが所属。
グループを介してアクセス権を付与する場合は定期的にメンバーを見直し、不要なアカウントは即時削除します。
共有認証情報を避け、可能ならSAML/SSOで認証し、サービス用の鍵は専用の秘密管理へ保管します。

2) AWS公式ベストプラクティスの定期確認

AWS Well-Architectedやセキュリティベストプラクティスを定期的に確認します。年に一度は見直すことを推奨します。
Trusted AdvisorやSecurity Hubの推奨項目をチェックし、改善項目をタスク化して対応します。

3) 定期的な設定レビューと脆弱性診断

月次または四半期で設定レビューを行い、AWS Configルールや監査リストで自動検出します。
脆弱性スキャン（外部・内部）を定期実施し、発見時は優先順位を付けて修正します。例：脆弱な公開ポートや古いライブラリの更新。

4) 社員や開発者へのセキュリティ教育

定期的な研修とフィッシング演習を実施し、認証情報の取り扱いや最小権限の考え方を浸透させます。
開発者向けに安全な認証連携や鍵管理の手順書を用意し、コードレビューで確認します。

5) 監査証跡の保存と自動アラート設定

CloudTrailを組織全体で有効化し、ログは改ざん対策のため別アカウントのS3へ転送、ライフサイクルを設定します。
GuardDutyやCloudWatchで疑わしい挙動を検知し、SNSやチャットOpsへ自動通知、必要なら自動封鎖の遊休ルールを用意します。
監査ログは法令や内部方針に合わせて保管期間を決め、定期的にアクセス権を見直します。

まとめ

クラウド環境のリスクは変化し続けます。第1〜6章で述べた対策を組み合わせて実行することで、乗っ取りの被害を大幅に減らせます。以下は実務で優先すべきポイントです。

認証情報の徹底管理
全社員・全サービスで多要素認証（MFA）を有効にしてください。アクセスキーは無闇に発行せず、Secrets Managerなどで安全に保管し、定期的にローテーションします。IAMロールを使うとキー露出を減らせます。
最小権限の徹底
不要な管理権限を与えないでください。役割ごとに最小限のポリシーを作成し、定期的に見直します（例：開発環境は読み書きのみ、本番は限定管理）。
ログと監視の強化
CloudTrailやGuardDuty、VPCフローログを有効にし、異常検知のアラートを設定します。ログを長期保存し、定期的に確認する運用を組み込みます。
日常運用と組織体制
定期的な権限レビュー、脆弱性スキャン、インシデント訓練を行ってください。設定はコード管理（IaC）で自動化し、変更履歴を残します。
緊急対応準備
連絡先と対応手順を用意し、課金アラートや「アクセス停止」の切り札（キルスイッチ）を準備します。実際に手順を試すテストも重要です。