AccessKey ペアは、Alibaba Cloud API を呼び出す際にアイデンティティを認証するために使用される認証情報です。AccessKey ペアが漏洩すると、アカウント配下のすべてのリソースが侵害される可能性があり、予期せぬ課金、身代金の要求、さらには Alibaba Cloud や他のユーザーへの損害につながる深刻なケースもあります。認証情報の不正利用のリスクを軽減するために、漏洩が疑われる場合は以下の手順に従って対応してください。
Alibaba Cloud のセキュリティ対策
Alibaba Cloud は、クラウドサービスのセキュリティを継続的に強化し、お客様のアカウント保護を支援しています。外部インテリジェンスに基づき、お客様の AccessKey ペアが公に公開されたことを Alibaba Cloud が検出した場合、登録された連絡先を通じて速やかにお客様に通知します。お客様のビジネスとデータを保護するため、Alibaba Cloud は侵害された AccessKey ペアに対して制限的保護も適用し、特定のクラウドサービスにおける高リスク API の呼び出しをブロックします。詳細については、「AccessKey の制限的保護」をご参照ください。
テキストメッセージ、メール、およびコンソール内メッセージで送信される通知を監視してください。ビジネスニーズに応じて迅速に対応し、サービスの中断を避けるために、クラウドリソースに関する異常なアクティビティに注意してください。
Alibaba Cloud は、お客様のすべての AccessKey ペアのセキュリティステータスを監視することはできません。責任共有モデルに基づき、AccessKey ペアはお客様のアカウントのアイデンティティ認証情報の一部であり、そのセキュリティについてはお客様が全責任を負います。常に注意を払ってください。
Alibaba Cloud アカウント (ルートアカウント) の AccessKey 漏洩が疑われる場合の手動対応手順
-
AccessKey を既に使用していない場合は、AccessKey 管理ページに移動し、直ちに無効化または削除してください。
-
AccessKey をまだ使用している場合は、AccessKey 管理ページに移動し、ローテーションしてください。
新しい AccessKey を作成し、AccessKey Secret を安全に保管します。アプリケーション内の古い AccessKey を新しいものに置き換えます。すべてが正常に動作することを確認した後、古い AccessKey を無効化して削除します。
RAM ユーザーの AccessKey 漏洩が疑われる場合の手動対応手順
-
AccessKey を既に使用していない場合は、Resource Access Management (RAM) コンソールに移動し、RAM ユーザーの AccessKey を無効化または削除してください。手順については、「RAM ユーザーの AccessKey の無効化」および「RAM ユーザーの AccessKey の削除」をご参照ください。
-
AccessKey を使用中であり、直ちにローテーションできる場合は、できるだけ早くローテーションしてください。
新しい AccessKey を作成し、AccessKey Secret を安全に保管します。アプリケーション内の古い AccessKey を新しいものに置き換えます。正常な動作を確認した後、古い AccessKey を無効化して削除します。手順については、「RAM ユーザーの AccessKey のローテーション」をご参照ください。
-
AccessKey を使用中であるものの、直ちにローテーションできない場合は、以下の手順に従って潜在的な損害を限定してください。その後、できるだけ早くローテーションを完了してください。
手順 1: AccessKey 権限の縮小
ビジネス要件を特定し、現在の運用を中断することなく、疑わしい AccessKey ペアの権限を迅速に縮小します。高リスクな権限を制限して、ビジネスと請求への潜在的な損害を最小限に抑えます。この制限的なポリシーは、AccessKey ペアを無効化して削除するまで維持してください。
制限を推奨する高リスク権限: RAM ユーザーによる RAM ユーザーの作成や RAM での権限付与の防止、ECS、RDS、OSS、または SLS リソースの解放のブロック、SMS 送信の無効化。
以下の例は、高リスクなアクションを拒否するカスタムポリシーを示しています。その影響を評価し、ビジネスニーズに基づいて調整してください。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ram:AddUserToGroup", "ram:AttachPolicyToGroup", "ram:AttachPolicyToRole", "ram:AttachPolicyToUser", "ram:ChangePassword", "ram:CreateAccessKey", "ram:CreateLoginProfile", "ram:CreatePolicyVersion", "ram:CreateRole", "ram:CreateUser", "ram:DetachPolicyFromUser", "ram:PassRole", "ram:SetDefaultPolicyVersion", "ram:UpdateAccessKey", "ram:SetPasswordPolicy", "ram:UpdateRole", "ram:UpdateLoginProfile", "ram:UpdateUser" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "ecs:DeleteInstance", "ecs:DeleteInstances", "ecs:DeregisterManagedInstance", "ecs:ReleaseDedicatedHost" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "rds:DeleteAccount", "rds:DeleteDatabase", "rds:DeleteDBInstance", "rds:DestroyDBInstance" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "oss:DeleteBucket", "oss:DeleteObject", "oss:PutBucketAcl", "oss:PutBucketPolicy" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "log:DeleteLogStore", "log:DeleteProject", "log:PutProjectPolicy", "log:DeleteProjectPolicy" ], "Resource": "*" }, { "Effect": "Deny", "Action": [ "dysms:CreateProductNew", "dysms:CreateSmsTemplateNew", "dysms:AddSmsTemplate", "dysms:SendSms", "dysms:SendBatchSms" ], "Resource": "*" } ] }手順については、「カスタムポリシーの作成」および「RAM ユーザーの権限管理」をご参照ください。
AccessKey に必要な最小限の権限を明確に定義し、不要な権限はすべて削除してください。
手順 2: RAM ユーザーの MFA を有効化
ベストプラクティスとして、コンソールにアクセスする Alibaba Cloud アカウント (ルートアカウント) 配下のすべての RAM ユーザーに対して、多要素認証 (MFA) を有効化してください。
-
ルートアカウント配下の RAM ユーザーがコンソールにログインする際に MFA を要求します。
手順については、「RAM ユーザーのログイン設定の管理」をご参照ください。
-
ユーザーに MFA デバイスをバインドします。
手順については、「RAM ユーザーへの MFA デバイスのバインド」をご参照ください。
手順 3: AccessKey の異常な操作の確認
AccessKey ペアに異常なアクティビティがないか確認し、他のアイデンティティも侵害されている可能性がないか調査します。異常なソース IP アドレスや、通常の業務外のリソース作成・削除アクションに焦点を当ててください。
漏洩が疑われる期間中に調査すべき危険な操作:
-
アイデンティティと権限の変更: RAM ユーザーの作成 (
CreateUser)、AccessKey の作成 (CreateAccessKey)、ポリシーのアタッチ (AttachPolicyToUser)、およびロールの作成 (CreateRole)。 -
リソースの削除または解放: ECS インスタンスの削除 (
DeleteInstance)、RDS インスタンスの削除 (DeleteDBInstance)、および OSS バケットの削除 (DeleteBucket)。 -
データ窃取アクション: OSS バケット ACL の変更 (
PutBucketAcl) またはバケットポリシーの変更 (PutBucketPolicy)。 -
異常な API 動作: 短時間での大量の API 呼び出し、見慣れない IP アドレスやリージョンからの操作、または通常の勤務時間外のバッチ操作。
確認方法: RAM コンソールで、RAM ユーザーの AccessKey リストを見つけ、操作記録を確認します。または、ActionTrail コンソールの [AccessKey 監査]ページに移動し、AccessKey ID を入力してその操作履歴を照会します。
ActionTrail の AccessKey 監査機能は、特定の AccessKey ペアによって過去 90 日間に行われたすべての API 呼び出し (呼び出し時刻、アクション名、ソース IP アドレス、アクセスされたクラウドサービスを含む) を表示します。手順については、「ActionTrail を使用した AccessKey の使用状況の監視」をご参照ください。
説明ActionTrail でカバーされていないデータ関連の操作 (OSS や SLS での操作など) については、各クラウドサービスのロギング機能を使用して調査してください。
また、侵害が判明しているキー以外に、他の RAM ユーザーや AccessKey ペアに異常なアクティビティの兆候がないかどうかも確認してください。不審な動作を発見した場合は、関連担当者にそのアクションが承認されたものかどうかを確認してください。漏洩が疑われる場合は、以下の対応を取ってください。
-
RAM ユーザーをアクティブにしておく必要がある場合は、直ちにパスワードを変更し、多要素認証 (MFA) を有効化してください。
-
RAM ユーザーが正規に作成されたものでない、または不要になった場合は、削除してください。削除された RAM ユーザーはごみ箱に移動します。ビジネスへの影響を監視し、必要に応じてユーザーを迅速に復元してください。
-
AccessKey の異常なアクティビティについては、前述のように権限を制限し、キーをローテーションしてください。
手順 4: 異常な課金の確認
課金管理で、請求内容に予期せぬ課金がないか確認してください。前の手順での調査結果に基づき、影響を受けたサービスに対して的を絞った保護措置を適用してください。
-
AccessKey 漏洩の長期的な防止戦略
「Alibaba Cloud OpenAPI を呼び出すためのアクセス認証情報の使用に関するベストプラクティス」をご参照ください。