AWSから届く通知 「Abuse Report」の対応 2023/07/23 JAWS-UG福岡 #14 クラスメソッド株式会社 AWS事業本部 伊豫⾕ 優希(もっさん) 1

2 自己紹介 もっさん(@_mossann_t) / Yuuki Iyotani クラスメソッド株式会社 AWS事業本部 カスタマーソリューション部 ITサービスマネージャー改め AWSインストラクター(見習い) コミュニティ AKIBA.AWS ONLINE 運営 / 2023 Japan AWS All Certifications Engineers / 書籍「AWSの知識地図」第3章 執筆担当 好きなもの : 読書、土日朝の特撮ヒーローたち

3 今日話すこと 「Abuse Report」を受け取った時の対応

4 トピックの選定理由 「AWSではじめるクラウドセキュリティ」において、 検知の仕組みの重要性についても触れられていた 「無視してはいけない通知」の1つとして、 Abuse Report も知ってほしい (「AWSではじめるクラウドセキュリティ」P.297)

5 Abuse Report とは

6 Abuse Report とは ユーザー側での是正、対応が必要となる脆弱性 および不正な利用の通知 • AWS リソースに関する脆弱性の通知 • AWS 利用規約に違反しているアクティビティの勧告

7 Abuse Report とは AWS リソースに関する脆弱性の通知 →事故を未然に防ぐための対応 • EC2インスタンスのポートが無制限にオープンにさ れており、攻撃者に狙われるリスクがある

8 Abuse Report とは AWS 利用規約に違反しているアクティビティの勧告 →既に不正な利用や侵害が発生している可能性が高い • EC2インスタンスが、外部のリソースへ ポートスキャンを行った形跡が見られる • DDoS攻撃の攻撃元IPとして検知されている • マルウェア等の配布元として検知されている • 違法なコンテンツの配信 など

9 AWS利用規約(スクリーンショット引用) 引用[1] : "84ར༻ن໿ https://aws.amazon.com/jp/aup/

10 受け取った時の対応

11 これだけはやってほしい • 中身をよく読む • すぐに返信 • 対応完了したら報告

12 受け取った時の対応 通知に事象の詳細と根拠となる情報が記載されている • DDoS攻撃のログ、第三者からの通報内容など • 対応方針を決めるための手掛かりとなる (方針が決まっていなくても)内容を確認したら返信 • 24時間以内の返信がない場合、 リソースやアカウントが停止される可能性あり • 無視は絶対NG

13 慌てないために

14 慌てないために レポートが必要な状況を発生させない、 リスクを早期に検知することが大事 • Security Hub • Trusted Advisor • GuardDuty • Inspector 「AWSではじめるクラウドセキュリティ」にハンズオンの手順があります！

15 本日のまとめ • Abuse Report は、 対応が必要な脆弱性や不正利用の通知 • Abuse Report が届いたら、早急に以下を実施 • ただちに中身を確認・返信 • 早急な暫定対応 • なるべく早期に恒久対応を完了 • 対応完了を AWS へ連絡

16 参考資料 • AWSではじめるクラウドセキュリティ 巻末「これからの学習のために」P.297 https://www.amazon.co.jp/dp/4910313036 • AWS 利用規約 https://aws.amazon.com/jp/aup/ • AWSより「Abuse Report」といった件名の通知が届いたとき、 対応すべきこと | DevelopersIO https://dev.classmethod.jp/articles/tsnote-abuse-notice-001/ • AWS の不正使用の報告を確認して対応する | AWS re:Post https://repost.aws/ja/knowledge-center/aws-abuse-report

Thank you！ 17