Abuse report だけじゃない。AWS から緊急連絡が来る状況とは？昨今の攻撃や被害の事例の紹介と備えておきたい考え方について

Transcript

1. +"84
   %":4
    .BTIVQ
   GPS
   UIF
   'VUVSF Abuse report だけじゃない。 AWS から緊急連絡が来る状況とは？ 昨今の攻撃や被害の事例の紹介と 備えておきたい考え方について @kazzpapa3(ICHINO

   Kazuaki) / JAWS-UG 神戸

2. #jawsug #jawsdays2026 #jawsdays2026_d 自己紹介 { "Bio": { "Name": "ICHINO Kazuaki

   a.k.a. kazzpapa3", "Organization": "A certain AWS partner company", "Role": "Technical Support Engineer", "Favorite AWS Services": [ "AWS CLI", "AWS CloudTrail", "Kiro CLI” ], "Less Favorite AWS Service (as a Support Engineer)":[ "AWS Billing (請求ロジックが難解すぎる)” ], "Personal Interest": "初音ミク", "Socials": { "Twitter/X": "@kazzpapa3", "LinkedIn": "https://www.linkedin.com/in/kazzpapa3/" } } }

3. #jawsug #jawsdays2026 #jawsdays2026_d 自己紹介 { "Bio": { "Name": "ICHINO Kazuaki

   a.k.a. kazzpapa3", "Organization": "A certain AWS partner company", "Role": "Technical Support Engineer", "Favorite AWS Services": [ "AWS CLI", "AWS CloudTrail", "Kiro CLI” ], "Less Favorite AWS Users (as a Support Engineer)":[ “アクセスキーを雑に扱うすべての人” ], "Personal Interest": "初音ミク", "Socials": { "Twitter/X": "@kazzpapa3", "LinkedIn": "https://www.linkedin.com/in/kazzpapa3/" } } }

4. 前提

5. #jawsug #jawsdays2026 #jawsdays2026_d • 本資料で紹介する事例はリセラーのテクサポエンジニアである登壇 者から観測できた 顧客事例の一部 となります • 件数が多いように見える可能性がありますが、リセラーとしての

   弊 社顧客全体が分母となっている点 をご考慮ください • また 特定の顧客に偏っている事象ではない ため、特定顧客が特段 に不用心であるということでもない点に留意が必要です • 事象の性質上、責任共有モデルの観点で顧客側のみアクセス・判断 可能な事象も多いため、弊社の管理体制が特段乏しいわけでない 点 もご認識ください 事例や出典データ・傾向について セクションタイトル

6. そもそも

7. #jawsug #jawsdays2026 #jawsdays2026_d • 多いのはメンテナンスの通知 • EC2 インスタンスのリタイアメント、サイト間 VPN や

   Direct Connect の メンテナンス • EoL や EoS を伝えるもの • 上限緩和申請時のユースケースのヒアリング AWS から通知を受けるケースは多々あります そもそも

8. #jawsug #jawsdays2026 #jawsdays2026_d • AWS アカウントやリソースが なんらかの不審な状態にあり緊急を 要する可能性 がある場合 •

   AWS 内部で AI などの活用もしながら、通常と異なる傾向のアクティビ ティを検知していると見られます • 第三者からの情報提供（苦情）によって動いている場合もあります • AWS 側からサポートケースを起票される（アウトバウンドケース）場合や、 E メールで通知される場合が混在します • 今回の話はこれに合致する "緊急性のあるアウトバウンドケースやメール連 絡" が対象です AWS から通知を受けるケースは多々あります そもそも

9. どのような通知があるか

10. #jawsug #jawsdays2026 #jawsdays2026_d # 性質 代表的なメール件名 1 バウンス Amazon SES

    Bounce Review Period for AWS Account ${AWS_ACCOUNT_ID} 2 Abuse Report Your AWS Abuse Report [${AWS_CASE_ID}] [AWS ID ${AWS_ACCOUNT_ID}] 3 アクセスキーの流出 [CASE ${AWS_CASE_ID}] ACTION REQUIRED: Your AWS Access Key is Exposed for AWS Account ${AWS_ACCOUNT_ID} 4 異常なアクティビティの検出 [Action Required] Unexpected Activity Detected on your AWS Account [AWS Account: ${AWS_ACCOUNT_ID}] 5 脆弱性レポート Your AWS Vulnerability Report [${AWS_CASE_ID}] [AWS ID ${AWS_ACCOUNT_ID}] 6 アクセスキーに対する不審なア クティビティの検出 [CASE ${AWS_CASE_ID}] [Action Required] Irregular Activity Detected for Your AWS Access Key for Account [AWS Account: ${AWS_ACCOUNT_ID}] 7 第三者からの不正なアクセスが 疑われる事象の検出 [CASE ${AWS_CASE_ID}] [Action Required] Please review your AWS Account and credentials ${AWS_ACCOUNT_ID} 8 バウンス [CASE ${AWS_CASE_ID}] Sending Blocked - Compromised Credentials occured for offending VID [${MAIL_ADDRESS}] AWS ID ${AWS_ACCOUNT_ID} この1〜2年に発生した既知のパターン どのような通知があるか •通知件名に多少のブレがある、新たなサイバー犯罪の発生により、未知の件名が発生する可能性 はあります

11. #jawsug #jawsdays2026 #jawsdays2026_d # 発生日時 性質 チケットの件名 1 2024/03/04 09:55:06

    Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 2 2024/03/18 17:50:37 バウンス Amazon SES Bounce Review Period for AWS Account 109876543212 3 2024/05/14 09:40:22 Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 4 2024/05/16 14:33:30 バウンス Amazon SES Bounce Review Period for AWS Account 109876543212 5 2024/05/16 18:29:05 Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 6 2024/05/27 10:37:06 バウンス Amazon SES Bounce Review Period for AWS Account 109876543212 頻度や傾向（2024年3月 以降） どのような通知があるか •顧客や事象の特定を防ぐため、件名の ケース ID や AWS アカウント ID に相当する文字列は置換 しています。

12. #jawsug #jawsdays2026 #jawsdays2026_d # 発生日時 性質 チケットの件名 7 2024/05/27 10:16:57

    Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 8 2024/07/22 09:39:48 バウンス Amazon SES Bounce Review Period for AWS Account 109876543212 9 2024/07/29 09:41:28 Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 10 2024/09/04 11:41:43 バウンス Amazon SES Bounce Review Period for AWS Account 109876543212 11 2024/09/04 18:07:54 脆弱性レポート Your AWS Vulnerability Report [10987654321] [AWS ID 109876543212] 12 2024/09/04 18:07:54 脆弱性レポート Your AWS Vulnerability Report [10987654321] [AWS ID 13 2024/09/04 18:07:54 脆弱性レポート Your AWS Vulnerability Report [10987654321] [AWS ID 109876543212] 頻度や傾向（2024年3月 以降） どのような通知があるか

13. #jawsug #jawsdays2026 #jawsdays2026_d # 発生日時 性質 チケットの件名 14 2024/09/04 18:07:55

    脆弱性レポート Your AWS Vulnerability Report [10987654321] [AWS ID 109876543212] 15 2024/10/01 09:49:11 バウンス Amazon SES Bounce Review Period for AWS Account 109876543212 16 2024/10/29 19:54:22 バウンス Amazon SES Bounce Review Period for AWS Account 109876543212 17 2024/11/11 09:35:41 アクセスキーの流 出 ACTION REQUIRED: Your AWS Access Key is Exposed for AWS Account 109876543212 18 2024/11/23 20:12:53 脆弱性レポート Your AWS Vulnerability Report [10987654321] [AWS ID 109876543212] 19 2024/12/16 17:59:57 Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 20 2024/12/24 09:33:02 異常なアクティビ ティの検出 [Action Required] Unexpected Activity Detected on your AWS Account [AWS Account: 109876543212] 頻度や傾向（2024年3月 以降） どのような通知があるか

14. #jawsug #jawsdays2026 #jawsdays2026_d # 発生日時 性質 チケットの件名 21 2025/02/21 18:28:28

    バウンス Amazon SES Bounce Review Period for AWS Account 109876543212 22 2025/04/25 10:25:30 Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 23 2025/04/27 11:36:05 アクセスキーに対 する不審なアク ティビティの検出 Attention required on case 109876543212105: [Action Required] Irregular Activity Detected for Your AWS Access Key for Account [AWS Account: 109876543212] 24 2025/05/28 18:28:52 異常なアクティビ ティの検出 [Action Required] Unexpected Activity Detected on your AWS Account 109876543212 25 2025/06/04 20:46:00 異常なアクティビ ティの検出 [Action Required] Unexpected Activity Detected on your AWS Account 109876543212 26 2025/07/25 01:42:36 異常なアクティビ ティの検出 [Action Required] Unexpected Activity Detected on your AWS Account 109876543212 頻度や傾向（2024年3月 以降） どのような通知があるか

15. #jawsug #jawsdays2026 #jawsdays2026_d # 発生日時 性質 チケットの件名 27 2025/08/06 01:26:03

    バウンス [CASE 109876543212852] Sending Blocked - Compromised Credentials occured for offending VID [[email protected]] AWS ID 10987654321 28 2025/08/21 17:57:08 Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 29 2025/08/30 11:39:08 アクセスキーに対 する不審なアク ティビティの検出 [Action Required] Irregular Activity Detected for Your AWS Access Key for Account [AWS Account: 109876543212] 30 2025/10/12 12:49:51 Abuse Report Your AWS Abuse Report [10987654321] [AWS ID 109876543212] 31 2025/10/23 03:36:53 アクセスキーに対 する不審なアク ティビティの検出 [Action Required] Irregular Activity Detected for Your AWS Access Key for [AWS Account: 109876543212] 頻度や傾向（2024年3月 以降） どのような通知があるか

16. #jawsug #jawsdays2026 #jawsdays2026_d # 発生日時 性質 チケットの件名 32 2025/10/31 00:37:01

    アクセスキーに対 する不審なアク ティビティの検出 [Action Required] Irregular Activity Detected for Your AWS Access Key for Account [AWS Account: 109876543212] 33 2025/11/01 11:38:08 アクセスキーに対 する不審なアク ティビティの検出 [Action Required] Irregular Activity Detected for Your AWS Access Key for Account [AWS Account: 109876543212] 頻度や傾向（2024年3月 以降） どのような通知があるか

17. 傾向をざっくりとサマリー

18. #jawsug #jawsdays2026 #jawsdays2026_d • Abuse Report : 9件 • バウンス

    : 9件 • アクセスキーに対する不審なアク ティビティの検出 : 5件 • 脆弱性レポート : 5件 • 異常なアクティビティの検出 : 4件 • アクセスキーの流出 : 1件 性質別 傾向をざっくりとサマリー

19. #jawsug #jawsdays2026 #jawsdays2026_d • 月曜日: 8件 • 火曜日: 4件 •

    水曜日: 8件 • 木曜日: 4件 • 金曜日: 4件 • 土曜日: 3件 • 日曜日: 2件 曜日別 傾向をざっくりとサマリー

20. #jawsug #jawsdays2026 #jawsdays2026_d 時間帯別 傾向をざっくりとサマリー

21. #jawsug #jawsdays2026 #jawsdays2026_d • こんなことも起こる 土日や深夜も待ってくれないので 傾向をざっくりとサマリー • Abuse Report

    受信 in 能登半島

22. それぞれの通知事象について

23. #jawsug #jawsdays2026 #jawsdays2026_d • バウンス：メールの大量配信元として不正利用される（Amazon SES や EC2 インスタンス） •

    AWS が保有する IPv4 アドレスがスパムメール配信元としてブラックリス ト化されると他の顧客への影響も出ることから、通知された時点でメール 配信ができなくなっていることが多い • 利用者としては送れていると思っているメールが出せていない状況となる メールの大量配信 それぞれの通知事象について

24. #jawsug #jawsdays2026 #jawsdays2026_d • アクセスキーの不正利用 • 多くはマイニング（暗号通貨を得るための計算リソースとして利用） • 顧客の正当な利用かどうかの判断が第三者から判断しにくい •

    AWS から見ると OS 内部の動きがわからず、コンピュート資源の使用が、顧客の正常 な経済活動なのかどうかがわからない アクセスキーの不正利用 それぞれの通知事象について

25. #jawsug #jawsdays2026 #jawsdays2026_d • EC2 インスタンスの不正利用 • 他者への攻撃元としての利用 • 他のサーバーへの

    SSH ログインの試行など（DoS攻撃、DDoS攻撃の実行元としての 利用） • フィッシングサイトの公開元として利用される • これらは AWS Acceptable Use Policy の違反行為として アカウントが停 止対象とされる 利用規約違反 それぞれの通知事象について

26. #jawsug #jawsdays2026 #jawsdays2026_d 2. の補足）責任共有モデルの観点から それぞれの通知事象について

27. 事例をいくつか

28. #jawsug #jawsdays2026 #jawsdays2026_d • A 社 • Amazon SES の

    SMTP ユーザーである IAM ユーザーのアクセスキー漏え いによるスパムメール配信 • B 社 • IAM ユーザーのアクセスキー漏えいによるコンピュートリソースの不正利 用、および AWS 利用料の高騰 ２例あります 事例をいくつか

29. #jawsug #jawsdays2026 #jawsdays2026_d • バウンスの発生を告げる連絡を受領 • 弊社から案内 • 対応すべき内容はわかったが、どこで使われているかわからない •

    特定できたが、アクセスキーのローテーションをすることの影響範 囲がわからない A 社での例 事例をいくつか

30. #jawsug #jawsdays2026 #jawsdays2026_d 1. 第 1 波としてアクセスキー ID とシークレットアクセスキーの不 正入手とそれを利用され、別の

    IAM ユーザーとアクセスキーを作 成される その後、新しく作成したアクセスキーで以下のような行動を実施 される 1. 既存の IAM ユーザーのログインプロファイルの削除 2. SageMaker Notebook インスタンスの乱立 3. ECS コンテナの乱立 • ただし ECS は AutoScaling Group で建てられている • そのためそちらを先に対処しないとゾンビのように復活してくるように見えるはず 4. IAM ロールの信頼ポリシーの変更 B 社での例：被害は大きく 2 回 事例をいくつか

31. #jawsug #jawsdays2026 #jawsdays2026_d 2. 第 2 波として、再度不正利用をされる 1. 第 1

    波の対応時点でアクセスキーの削除はしていた 2. ＜1-4＞ で IAM ロール OrganizationsAccountAccessRole の AssumeRole の引き受け元の AWS アカウント ID を書き換えられていた 3. ＜2-2＞で設定変更された犯行者所有の AWS アカウント ID から OrganizationsAccountAccessRole ロールへスイッチロールされ、新た なアクセスキーを作成され、それを利用された B 社での例：被害は大きく 2 回 事例をいくつか

32. #jawsug #jawsdays2026 #jawsdays2026_d • 不正入手したアクセスキーを用いて犯行用の別の IAM ユーザー・ アクセスキーを作成 • 各種リソースの削除、改変、リソースの乱立をされていた

    第 1 波 事例をいくつか

33. #jawsug #jawsdays2026 #jawsdays2026_d • 犯行者が第 1 波の際に改変していた IAM ロールを用いて再侵入さ れ、各種リソースの乱立をされた

    • 管理アカウントからのアカウント発行時に作成されるロールの AssumeRole の引き受け元アカウント ID を書き換えられていた 第 2 波 事例をいくつか

34. #jawsug #jawsdays2026 #jawsdays2026_d • AWS Organizations 管理アカウントからメンバーアカウントを発行する 際に、管理アカウントからの初期アクセス目的で払い出される IAM ロー

    ル • 管理アカウント ID を引き受け元として AssumeRole できるように自動作成され る • アカウント発行時に名称はデフォルトから変更できるが、発行しないことを選択 できない • 加えて AdministratorAccess が付与されている • 同様に AWS Control Tower の Account Factory で払い出したアカウ ントにも AWSControlTowerExecution ロールが作成される • AWS 公式ドキュメントに言及があり、存在している可能性が広く知れ 渡ってしまっている OrganizationsAccountAccessRole とは？ 事例をいくつか

35. いきなり通知が来ると焦る！

36. #jawsug #jawsdays2026 #jawsdays2026_d • B 社のようなケースで配信される通知例 We detected potentially unexpected

    activity in your AWS account. This activity is related to your AWS access key(s) belonging to User(s) on the account. Please review the detailed list of access key(s) and User(s) in the existing Support Case within your AWS Console. Refer to the user guide [1] for detailed instructions. As a security best practice, we recommend that you enable multi-factor authentication (MFA) [2]. ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

37. #jawsug #jawsdays2026 #jawsdays2026_d Step 1: If your application uses the

    exposed access key, you need to replace the key. To replace the key, first create a second key (at that point, both keys will be active). Then, modify your application to use the new key. Next, disable (do not delete) the exposed key by clicking on the “Make inactive” option in the console. If there are any problems with your application, you can reactivate the exposed key. When your application is fully functional using the new key, please delete the exposed access key(s). ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

38. #jawsug #jawsdays2026 #jawsdays2026_d To delete IAM user keys, go to

    [3]. To delete Root user keys, go to [4]. Please note, only rotating and deleting the exposed key may not be sufficient to protect your account, continue to Step 2. Step 2: Check your CloudTrail log for unwanted activity. Check your account for any unwanted activity, such as creation of unapproved IAM users and/or associated passwords (login profile), access keys, policies, roles or temporary security credentials by checking your CloudTrail log, and immediately delete them. ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

39. #jawsug #jawsdays2026 #jawsdays2026_d To delete IAM users, go to [5].

    To delete policies, go to [6]. To delete roles, go to [7]. Please note, deleting IAM users may impact production workloads and should be done carefully. ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

40. #jawsug #jawsdays2026 #jawsdays2026_d Step 3: Review your AWS account for

    any unwanted usage. Check your account for any unwanted usage, such as EC2 instances, Lambda functions, or EC2 Spot bids by logging into your AWS Management Console and reviewing each service page. You can also do this by checking the "Bills" page in the Billing console [8]. Please note, unwanted usage can occur in any region and your console only displays one region at a time. To switch regions, use the drop-down menu in the top-right corner of the console. ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

41. #jawsug #jawsdays2026 #jawsdays2026_d Step 4: Please work with your TAM/Account

    Manager and respond to the existing Support Case or create a new one [9] to confirm completion of steps 1-3 and apply for a billing adjustment, if applicable. We will work with you to evaluate billing adjustments after the account is secured. ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

42. #jawsug #jawsdays2026 #jawsdays2026_d We will provide a list of potentially

    unexpected resources related to this event through the associated Support Case within the next 2 hour(s). Please review the resources listed for each of your services, and take action to stop, delete, or terminate any that are unwanted. The deeplinks in the attached file should take you to the exact resource page, or you can manually navigate to the resource to investigate. In addition to the resources detailed in the Support Case, it's important that you review all your services and credentials to identify and address any other unwanted usage, as described. ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

43. #jawsug #jawsdays2026 #jawsdays2026_d If you need help securing your account,

    let us know through the Support Case where you can request a phone call or chat session for immediate assistance. Alternatively, if you believe that your account is secured and there is no unwanted access or usage, please contact us immediately via the Support Case to confirm this in writing. Thank you for your immediate attention to this matter. ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

44. #jawsug #jawsdays2026 #jawsdays2026_d [1] https://aws.amazon.com/premiumsupport/knowledge- center/potential-account-compromise/ [2] https://docs.aws.amazon.com/IAM/latest/UserGuide/id_cr edentials_mfa_enable.html [3]

    https://console.aws.amazon.com/iam/home#users [4] https://console.aws.amazon.com/iam/home#security_crede ntial [5] https://console.aws.amazon.com/iamv2/home#/users [6] https://console.aws.amazon.com/iam/home#/policies ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

45. #jawsug #jawsdays2026 #jawsdays2026_d [7] https://console.aws.amazon.com/iam/home#/roles [8] https://console.aws.amazon.com/billing/home#/bill [9] https://console.aws.amazon.com/support/home?#/ •

    英語での通知となりますが、概ね実施すべき内容をステップを踏ん で実行してほしいというように書かれている • そのため 焦らず上から順に対応をすれば、大体なんとかなる • 弊社では日本語翻訳文も後追いで送るようにしている ただ、実施して欲しい内容は書いてある いきなり通知が来ると焦る！

46. #jawsug #jawsdays2026 #jawsdays2026_d • Step 1: 流出したアクセスキーの無効化・削除 • 正規利用しているシステムへの影響を考慮し、いきなり削除ではなくローテーションする •

    Step 2: CloudTrailで不正なアクティビティを確認・削除 • CloudTrail を確認し、不正利用されたアクセスキーによって作成、 改変された IAM ユーザーや IAM ポリシー、IAM ロールを確認し、削除 • Step 3: 不正なリソース使用を確認・停止 • 不正に建てられたリソースはないか、あれば停止する • 請求ダッシュボードで意図しない異常な料金がないかを確認 • Step 4: AWSサポートケースで完了報告・請求調整依頼 • サポートケースに Step 1〜3 の完了を報告 • 不正利用による請求の調整（billing adjustment）を申請 焦らず上から順に対応をすれば、大体なんとかなる 先の通知文例で書かれていたこと いきなり通知が来ると焦る！

47. 焦らず順に対応すれば、 なんとかなる

48. はずなのに、その一歩手前

49. #jawsug #jawsdays2026 #jawsdays2026_d • 多くのお客様で弊社からの通知に気づいていなかった • メールで届くとは思っていなかったと伺うことも多くある • 直契約だったとしても root

    にメールで届くので、 リセラーを使っていても条件は同等 • 電話がかかってきて教えてもらえるようなことはほとんどない • 弊社で検討中ですが、課題も多い • マルチアカウントが当たり前の昨今、どのアカウントをどの部署で使っていて、誰が 判断できるのかまでの情報をいただいていない🙈 • 仮に真夜中に総務部に連絡がついたところで…、という意味でね 通知に気づいていないパターンがある 焦らず順に対応すれば、なんとかなるはずなのに、その一歩手前

50. #jawsug #jawsdays2026 #jawsdays2026_d • AWS からの通知文面を見ても何をしていいかわからないお客様も ある • やらないといけない内容がよくわからない •

    やらないといけない内容はわかるが、どこで使っているかわからない • 変更した時の影響度がわからない 通知の内容に対する理解度 焦らず順に対応すれば、なんとかなるはずなのに、その一歩手前

51. #jawsug #jawsdays2026 #jawsdays2026_d • 真っ先に流出経路を探そうとする、など • 何かの変更を行うことに対して、おそらく原因も含めたちゃんとした報告 を求められている、とか？（想像 • すぐにやるべきは

    AWS からの通知文面にある内容 • 先の通知の例では、流出経路を特定せよ、とは書いていない • キーがなぜ、どこから漏れたか？ももちろん重要ではあるものの、 まずは不正に利用されてしまっているキーを使えなくする方が先 対応内容の優先度 焦らず順に対応すれば、なんとかなるはずなのに、その一歩手前

52. コストの観点から気づけるか

53. #jawsug #jawsdays2026 #jawsdays2026_d サービス名 特性 更新頻度 AWS Budgets コスト閾値でアラート設定 予算の50%、80%、100%などで通知

    SNS経由でメール/Slack通知 日次/週次/月次で監視可能 1日3回更新 (約8時間ごと) 実際のコスト反映まで最大24時間 リアルタイムではない AWS Cost Anomaly Detection 機械学習で異常なコスト増加を自動検出 通常パターンから逸脱した支出を通知 サービス別・アカウント別に監視 不正利用検知に最適 24時間程度 コストデータの集計・分析に時間がか かる 異常検知後、さらに数時間で通知 CloudWatch Billing Alarms 推定請求額が閾値を超えたら通知 シンプルだが基本的な検知が可能 us-east-1リージョンでのみ設定可能 4時間ごと更新 推定請求額の更新頻度が低い 最大で半日程度の遅延 AWS Cost Explorer コストの可視化・分析 異常なスパイクを手動確認 API経由で自動チェックも可能 24時間遅延 前日のコストが翌日に反映 高額利用につながる兆候はつかめるが… コストの観点から気づけるか •利用料の高騰をとらえることはできるが、リアルタイム性はなく事後確認の側面が強い

54. 今一度考えておきたいこと

55. #jawsug #jawsdays2026 #jawsdays2026_d • 冒頭いくつか見た通り、AWS として介入する（できる）場合、第 三者として判断ができず介入がしにくいケースが存在する • そのため、何かあったら止めてもらえる、と考えない方が良い •

    あなたのシステムは、あなたにしかわからない • 例えば、アクセスキーのローテーションや削除が必要な場合、どの ような影響が出るのか、などの詳細な把握が必要 責任共有モデルを正しく理解する 今一度考えておきたいこと

56. 棚卸しが必要、 とよく言いますが…

57. #jawsug #jawsdays2026 #jawsdays2026_d • どのような権限が付与されているのか • アクセスキーは発行されているのか • 発行されていた場合、最低限ローテーションはされているのか もちろんこれらも大事です

    よく言われていること 棚卸しが必要、とよく言いますが…

58. #jawsug #jawsdays2026 #jawsdays2026_d • クレデンシャル情報が、どのシステムから利用されているのか • そのシステムについては誰が技術的な判断を下せるのか • ビジネスインパクトはどの程度あるのか 加えてこれらの情報も管理しておく方が良い

    棚卸しが必要、とよく言いますが…

59. #jawsug #jawsdays2026 #jawsdays2026_d 今、 アクセスキー AKIAIOSFODNN7EXAMPLE とシークレットアクセス キー wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY が漏れ

    ています という連絡を受けたとしてどのように対処すれば良いか判断できま すか？ あるいは適切なメンバーに具体的な指示を出せますか？ 急な問い 棚卸しが必要、とよく言いますが…

60. #jawsug #jawsdays2026 #jawsdays2026_d • 避難訓練的に具体的なアクションプランまで策定しておくことが必 要だと思われます • 何かあったときにどこに連絡が来るのか • その連絡はどの時間でも受け取れるのか

    • 穴になる時間帯はあるのか • 受け取った人が即時判断ができるのか、あるいはエスカレーションは必要 なのか 棚卸しとともにシミュレーションが大事 棚卸しが必要、とよく言いますが…

61. そもそもアクセスキーは 必要なのか

62. #jawsug #jawsdays2026 #jawsdays2026_d • 本当にそうなのか？ 外部からシステムから操作する時必要だよね… そもそもアクセスキーは必要なのか 昔よりもはるかに 絶対に作らせたくない意志 が伝わってきますね

    • 2026年現在の アクセスキー作成画面

63. #jawsug #jawsdays2026 #jawsdays2026_d • いや、そうともいえない • 2022年7月 に IAM Roles

    Anywhere がリリースされています • オンプレミスや AWS 外部のワークロードに対して一時的な認証情報を発行 • X.509 証明書ベースの認証によりアクセスキーを不要にする • IAM ロールの権限を、外部システムから安全に利用可能としてくれる仕組 み https://docs.aws.amazon.com/ja_jp/rolesanywhere/latest/userguide/ introduction.html でもオンプレはアクセスキーいるんじゃない？ そもそもアクセスキーは必要なのか

64. #jawsug #jawsdays2026 #jawsdays2026_d • AWS CLI および SDK の認証にコンソール認証情報を使用可能に！ というアップデートがありました

    • いわゆる aws login コマンドの提供開始 • aws sso loginでブラウザ経由の SSO 認証を実行 • アクセスキーを保存せず、一時的な認証情報を自動取得 • IAM Identity Center と連携し、組織の認証基盤を活用することも可能 https://aws.amazon.com/jp/about-aws/whats- new/2025/11/console-credentials-aws-cli-sdk-authentication/ もう3ヶ月前のアップデートですが re:Invent で そもそもアクセスキーは必要なのか

65. 向き合い方にも変革を

66. #jawsug #jawsdays2026 #jawsdays2026_d • ウチ は大丈夫、と思っているのは、ウチ を知っている中の人だけ • そもそも不正利用をした犯行者が相手のことをどこまで把握しているのか •

    そもそも今の被害は、犯行者が狙いすました結果起きたのか • 狙いすます＝パスワード総当たり攻撃などで不正侵入を試みた、のようなニュアンス として • 同様に検証環境だから大丈夫、も 何が大丈夫 なのか • あくまで、不用意に置いてしまったアクセスキーを見つけられただけ とい う可能性の方がはるかに大きい ウチは大丈夫、という幻想 向き合い方にも変革を

67. #jawsug #jawsdays2026 #jawsdays2026_d • JAWS ではないセキュリティ系のコミュニティにお邪魔して伺った話 • 思っているよりもはるかに闇の軍団は組織化している • ダークウェブで使えそうな情報、悪用するのに最適化されたツールが出回って

    いる • 会社のような構造で、悪意のあるツールの開発者や実行者が存在し、それぞれ の立場で働いている • 露見した情報で最大限の悪用ができる道をちゃんと把握して働いてい る • AdministratorAccess があるから、いろいろリソース使おう😎 • メール送信しかできない権限だからスパムメールの配信元に使おう😎 ちょっと余談 向き合い方にも変革を

68. #jawsug #jawsdays2026 #jawsdays2026_d • ランサムウェア被害は有価証券報告書などからどの程度の身代金な ら支払い能力がありそうか？を見ているようです • 脆弱性と相手の状況ごとに専門の実行者にリストを回しあう感じで、相手 に応じた攻撃をするようです •

    多額の支払い能力を秘めていればランサムウェアに • 要求可能額が大したことなさそうであれば、資源をタダ乗りしてマイニングする、な ど • そのため 多くの企業が次の被害者になる可能性を秘めているのは平 等 だと思います 状況を見て、相手を見て犯行を行なっている 向き合い方にも変革を

69. 今日から、明日から できる対策を

70. #jawsug #jawsdays2026 #jawsdays2026_d • まずはアクセスキーが本当に必要なのか見直しを • すぐに撤廃できないなら、最低限付与されている権限の見直しを • 検証環境だから大丈夫、はあり得ない •

    検証環境で最小権限を模索している最中だから、アクセス元の制限や WAF などによる防御を手厚めにしておく、など、 今この環境はちょっと弱い立場にいるんだ、という観点が大事 • シミュレーション、避難訓練をやってみる • 敵😎は全世界にいる、日本のタイムゾーンで動いているわけではない ちょっとずつでもいいので見直しを 今日から、明日からできる対策を

71. Security is job zero. Thank you.