すべてのプロダクト
Search

このプロダクト

    Security Center:AccessKey ペアの漏洩検出

    ドキュメントセンター

    Security Center:AccessKey ペアの漏洩検出

    最終更新日:May 01, 2026

    Security Center は GitHub のパブリックリポジトリをリアルタイムで監視し、ご利用の Alibaba Cloud アカウントまたは Resource Access Management (RAM) ユーザーに属する AccessKey ペアが公開された場合にアラートを送信します。漏洩が検出された場合は、直ちに対応してください。まず、侵害された認証情報を無効化または置き換え、その後 GitHub 上の公開されたコンテンツを削除します。

    仕組み

    範囲

    • 検出対象プラットフォーム: Security Center は GitHub 上のパブリックソースコード内でのみ AccessKey ペアの漏洩を検出します。その他のコードホスティングプラットフォームはサポートされていません。

    • 検出対象: Alibaba Cloud アカウントおよび RAM ユーザーの AccessKey ペア(AccessKey ID と AccessKey Secret の両方)です。

    通知方法

    Security Center は、漏洩した AccessKey Secret が有効かどうかに応じて、異なる通知方法を使用します。

    重要

    第三者がご利用の AccessKey ペアを使用してリソースにアクセスできるのは、AccessKey ID と AccessKey Secret の両方が漏洩した場合のみです。

    条件

    通知方法

    AccessKey ID の漏洩(AccessKey Secret の有効性に関係なく)

    AccessKey Leak Detectionページ上のアラート

    AccessKey Secret が漏洩しており、かつ有効

    • コンソールプロンプト:Alibaba Cloud 管理コンソールのホームページまたはほとんどのプロダクトコンソールにアクセスした際にポップアップメッセージが表示されます。

    • アラート通知:設定されたチャンネル(サイト内メッセージ、メール)を通じて送信されます。

    アラート通知の設定

    Security Center では、AccessKey 漏洩アラート通知がデフォルトで有効になっています。アラートは SMS、音声通話、メール、およびサイト内メッセージを通じて送信できます。

    通知方法の変更

    1. Security Center コンソール - システム設定 - 通知設定にアクセスします。ページ左上隅で、保護対象のアセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland

    2. メール / サイト内通知 タブで、AccessKey ペア漏洩情報 を見つけ、必要な Notification Method を選択します。

    説明

    AccessKey の漏洩は高リスクインシデントです。タイムリーな通知を確実にするため、すべての通知方法を有効にすることを推奨します。詳細については、「アラート通知の設定」をご参照ください。

    通知受信者の追加

    デフォルトでは、アカウント連絡先のみが通知を受け取ります。他の受信者を追加するには、以下の手順に従います。

    • SMS、メール、およびサイト内メッセージ:

      共通設定ページで、セキュリティメッセージ > セキュリティ通知 に移動し、メッセージ受信者を変更します。

      説明

      ここで行った変更は、Security Center の他の通知項目だけでなく、Anti-DDoS や Web Application Firewall (WAF) などのプロダクトの通知項目にも適用されます。

    説明

    受信者を変更すると、その変更は Security Center のすべての通知項目および Anti-DDoS や Web Application Firewall (WAF) などのプロダクトの通知項目にも適用されます。

    AccessKey ペア漏洩への対応

    AccessKey 漏洩アラートを受信した場合、ご利用の Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey ID および AccessKey Secret が公開されています。以下の手順を完了してください。

    ステップ 1:漏洩の手動対応

    Security Center は AccessKey 漏洩イベントの自動対応をサポートしていません。まず、外部で以下の操作を完了してください。

    1. GitHub 上の漏洩コンテンツを削除または非公開化:関係者に連絡し、AccessKey ペアを含むファイル、リポジトリ、またはコードを削除または非公開にしてください。

    2. RAM コンソールで漏洩した AccessKey を処理:漏洩した AccessKey を削除または無効化し、新しい AccessKey を作成して、コアビジネス運用に影響が出ないようにしてください。詳細については、「RAM ユーザーの AccessKey ペアの削除」および「RAM ユーザーの AccessKey ペアの無効化」をご参照ください。

    ステップ 2:コンソールでの対応ステータスのマーク

    漏洩を手動で処理した後、Security Center コンソールで AccessKey アラートイベントのステータスをマークします。

    1. Security Center コンソールの AccessKey Leak Detection ページに移動します。

    2. 対象のイベントを見つけ、操作する 列の 処理 をクリックします。以下の対応方法のいずれかを選択し、今すぐ処理 をクリックします。

    対応方法

    適用シナリオ

    Manually Deleted

    漏洩した AccessKey ペアは使用されず、すでに削除されています。

    Manually Disabled AccessKey Pair

    漏洩した AccessKey ペアを引き続き使用する必要があるが、一時的に無効化する必要があります。RAM コンソールで再度有効化できます。

    説明

    RAM コンソールで AccessKey がすでに無効化されている場合、Security Center は自動的に無効化ステータスを同期し、イベントステータスは Manually Disabled に変更されます。

    ホワイトリストを追加する

    このイベントは誤検知である、または安全に無視できるものです。選択すると、ステータスは Added to Whitelist に変更され、イベントは対応済みリストに移動します。

    検出を再開するには、対応済みリストから AccessKey ペア漏洩の詳細ページに移動し、ホワイトリスト登録を解除してください。

    AccessKey ペアの呼び出し履歴の確認

    漏洩後、公開された認証情報が不正な第三者によって使用されたかどうかを確認します。ActionTrail を使用して呼び出し履歴をクエリします。

    説明

    ActionTrail の AccessKey ペア監査機能を使用してアクセスログを確認することもできます。詳細については、「AccessKey ペアのログのクエリ」をご参照ください。

    1. Security Center コンソールの AccessKey Leak Detection ページで、クエリ対象の AccessKey ID を取得します。

      image.png

    2. ActionTrail コンソール にログインします。

    3. 左側のナビゲーションウィンドウで、イベント > イベントクエリ を選択します。

    4. 上部ナビゲーションバーで、イベントが発生したリージョンを選択します。

    5. クエリタイプを AccessKey ID に設定し、AccessKey ID を入力して時間範囲を指定します。

    6. AccessKey ID によって呼び出されたイベントのリストを表示します。詳細を表示 をクリックしてイベントの詳細を確認できます。管理イベントのフィールドの説明については、「管理イベント構造」をご参照ください。

    異常な AccessKey ペア使用のモニタリング

    インシデント対応後は、継続的なモニタリングを設定して、今後の異常を早期に検出します。

    Security Center による脅威検出

    Security Center は、セキュリティベストプラクティスおよび大規模モデルを使用して、最近攻撃活動があった IP アドレスからの呼び出し、同一 IP からの複数ユーザーに対する大量の AccessKey ペア呼び出し、過去に漏洩した認証情報による機密 API の呼び出しなど、一般的な異常な AccessKey ペア呼び出しを検出します。

    1. Security Center コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、レスポンス検出 > アラート を選択します。コンソール左上隅で、ご利用のアセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland

      説明

      Agentic SOC を有効化している場合は、代わりに 脅威の分析と応答 > 管理 > アラート に移動してください。

    3. アラートタイプMalicious Process (Cloud Threat Detection) に設定し、異常な AccessKey ペア呼び出しに関するアラートを確認します。

    4. (オプション)アラート通知の設定: システム設定 > 通知設定 に移動し、Notification Item 列で アラート を見つけ、希望の方法を選択します。

      説明

      Basic Edition では、サイト内メッセージ通知方法のみがサポートされています。

    ActionTrail のビルトインアラートの設定

    ActionTrail には、AccessKey ペアのモニタリング専用のビルトインアラートが 2 種類あります。

    • AccessKey の異常使用頻度アラート

    • ルートアカウント AccessKey 使用検出

    これらのアラートを有効化するには、「イベントアラートの設定」をご参照ください。

    ActionTrail Insights による異常検出

    ActionTrail の Insights 機能は、過去の呼び出しパターンを分析し、異常なアクティビティ率を持つ AccessKey ペアを特定します。Insights を有効化し、Insights イベントを確認するには、「Insights イベントのクエリ」をご参照ください。

    推奨事項

    • ルートアカウントの AccessKey ペアは使用しないでください。 代わりに RAM ユーザーを使用します。

    • 認証情報をハードコードしないでください。 AccessKey ペアは環境変数に保存します。「認証情報セキュリティソリューション」をご参照ください。

    • プライベートリポジトリを使用してください。 ソースコードは GitHub のプライベートリポジトリまたは社内のコードホスティングシステムに保管し、誤って公開されるのを防ぎます。

    次のステップ