Case Study|Special|Cloud Forensics

AWS環境への不正アクセスが疑われたケース
——48時間の初動と、その後の再建

業種:金融サービス(決済系SaaS) 規模:従業員 約120名 期間:初動48h → 全体4週間
01

相談前の状況

決済関連のSaaSプロダクトを運営するその企業は、AWS上に本番環境を構築し、数万件の顧客トランザクションを日次で処理していました。開発チームは10名ほど、インフラ専任は1名。監視はCloudWatchの基本アラートのみという状態でした。

金曜日の夕方、経理担当者が月次のAWS請求を確認したとき、前月比で約3倍の利用料金が計上されていることに気付きました。身に覚えのないリージョンで、大量のEC2インスタンスが起動されている。最初は「開発チームの検証環境の消し忘れだろう」と考えましたが、確認を進めるうちに、誰にも心当たりがないことが分かりました。

この時点で分かっていなかったことは、いつから侵入されていたのか、どのIAMユーザーが悪用されたのか、顧客データへのアクセスがあったかどうか——そのすべてでした。

02

このケースが難しかった理由

判断を難しくしていたのは、複数の制約が同時に存在していたことです。

まず、事業停止ができない。決済系のプロダクトであるため、サービスを止めれば加盟店・エンドユーザーに即座に影響が出ます。「調査のためにシステムを止める」という選択肢は、経営的に取れませんでした。

次に、ログの保全が不十分だったこと。CloudTrailは有効でしたが、S3のデータイベントログやVPCフローログは取得していない状態でした。攻撃者がログを改ざんしている可能性も排除できません。

さらに、社内に判断できる人材がいなかった。インフラ担当は1名で、フォレンジックの経験はありません。CTOは前年に退任しており、セキュリティの意思決定を担える人間が組織にいない状態でした。

急ぐべきは証拠の保全と被害範囲の把握。しかしサービスを止めずに進めなければならない——このバランスが、このケースの最も難しい点でした。

03

open brain への相談

同社の顧問弁護士から「クラウドのフォレンジックができるチームを探している」という形で、金曜の夜にopen brainへ連絡がありました。弁護士経由での相談だったため、NDAは翌朝に締結。その日のうちにオンラインでの緊急ヒアリングを開始しました。

初回のヒアリングですぐに決めたことは3つ。CloudTrailログの即時バックアップ、不審なIAMユーザーの権限縮小(削除ではなく縮小)、そして経営陣への第一報のタイミングと内容です。

あえて決めなかったこともありました。「どこまで調査するか」のスコープは、初動で被害の輪郭が見えてから決める、としました。最初に調査範囲を狭く決めてしまうと、後から重大な見落としにつながるためです。

重要だったのは「まだ分からないことを、分からないまま認める」こと。中途半端な推測で経営判断を急がせないことを、最初に合意しました。
04

対応の流れ

Day 0 / 21:00緊急ヒアリング
AWS請求の異常、起動中の不審インスタンス、CloudTrailの有効状態を確認。この時点では「侵入経路」は不明。インフラ担当と画面共有しながら、現在進行形のリスクがあるかどうかを最優先で判定しました。
Day 1 / 朝証拠保全
CloudTrailログを別アカウントのS3バケットに即時コピー。不審なEC2のEBSスナップショットを取得。ログの改ざんリスクを考慮し、ハッシュ値の記録と取得日時の証明を実施。サービスは止めず、監視を強化した状態で運用を継続しました。
Day 1-3初動分析・封じ込め
CloudTrailの分析で、2週間前に漏洩したIAMアクセスキーが侵入経路であることを特定。攻撃者はこのキーを使って新規IAMユーザーを作成し、複数リージョンでマイニング用のEC2を起動していました。顧客データが格納されたRDS・S3へのアクセスログを重点的に確認し、データへの不正アクセスは確認されなかったという初期判断に至りました。
Day 4-14詳細調査
侵入経路の全容、攻撃者が作成したリソース一覧、権限変更の時系列を詳細に復元。アクセスキーの漏洩元は、GitHubのパブリックリポジトリにコミットされた.envファイルであることが判明しました。また、攻撃者がバックドアとして残したIAMロールが1つ見つかり、これを無効化しました。
Day 15-28報告・再発防止
経営層向け報告書、技術チーム向け詳細調査レポート、顧問弁護士向けの法的対応資料の3種を作成。並行して、IAMポリシーの全面見直し、シークレット管理の導入(AWS Secrets Manager)、CloudTrail+GuardDutyの監視体制構築を実施しました。
05

重要だった判断ポイント

Decision 01
不審なIAMユーザーを即座に削除するか、権限を縮小して残すか
削除すれば攻撃者のアクセスは即座に遮断できます。しかし、削除してしまうと攻撃者の行動履歴の一部が追跡困難になるリスクがありました。そこで権限を最小限に縮小し、行動を監視しながら証拠を収集する方針を取りました。結果として、攻撃者がバックドアとして仕込んだ別のIAMロールの発見につながりました。
Decision 02
調査結果を、いつ・どこまで経営陣に報告するか
侵害の全容が判明する前に中間報告を出すべきか、全容が分かってからまとめて報告すべきか。今回は「分かったこと」と「まだ分からないこと」を明確に分けて、Day 2の時点で第一報を入れました。経営陣が「何も知らない状態」でいる時間を最短にすることを優先しました。不確定情報を混ぜない報告フォーマットを事前に設計したことが、信頼関係の維持に効きました。
Decision 03
顧客への通知は必要か、いつ行うか
初動分析の段階で顧客データへの不正アクセスは確認されませんでしたが、「確認されなかった」と「なかった」は異なります。詳細調査が完了するまで顧客通知の判断を保留し、弁護士と連携して法的義務の有無を並行確認しました。最終的に、個人情報保護法上の報告義務に該当しないという判断に至り、顧客通知は行わない方針で合意しました。
06

提供した成果物

フォレンジック調査報告書(侵入経路・攻撃タイムライン・被害範囲)
経営層向けエグゼクティブサマリー(A4 / 3枚)
顧問弁護士向け法的対応資料
証拠保全記録(ハッシュ値・チェーン・オブ・カストディ)
IAMポリシー改善設計書
シークレット管理 移行手順書
監視体制設計書(CloudTrail + GuardDuty + アラート設計)
インシデント対応手順書(次回発生時用)
07

結果と変化

Technical
侵入経路を特定し、攻撃者が作成したすべてのリソースとバックドアを除去。ログの改ざんは確認されず、顧客データへの不正アクセスも最終的に否定されました。AWS環境のIAMポリシーは全面的に再設計され、シークレットのハードコードはゼロに。
Business
サービスを一度も停止することなく調査を完了。不正利用による余剰AWS費用は、AWSサポートとの連携により大部分の返金対応を獲得。顧問弁護士からは「報告書の精度が高く、法的対応の判断がスムーズだった」との評価を得ました。
Mindset
経営陣の反応として印象的だったのは、「何が起きたかが分かった時点で、不安の半分は消えた」という言葉でした。その後、同社はセキュリティ予算を見直し、四半期ごとのクラウドセキュリティ評価を定例化。「守りのコスト」が経営の議題として正式に位置づけられるようになりました。
08

この事例から言えること

クラウド環境の侵害対応で最も重要なのは、「速さ」ではなく「順序」です。何を先に保全し、何を後回しにするか。どの情報を誰にいつ伝えるか。この優先順位を間違えると、技術的に正しい対応をしていても、組織としての判断が崩れます。

open brain が大切にしているのは、初動で「すべてを解決する」のではなく、「正しい順番で進められる状態をつくる」ことです。何が分かっていて、何がまだ分かっていないのか。それを正直に共有することが、結果として最短の解決につながると考えています。

また、今回のように「CTO不在」「セキュリティ専任者なし」という体制は、決して珍しいことではありません。その状態で侵害が起きたとき、外部の専門チームがどのように判断を支えるか——それがフォレンジックサービスの本質的な価値だと考えています。

09

同じ状況の方へ

「何かおかしい」と気づいた時点で、すでに正しい判断の第一歩を踏み出しています。クラウド環境の異常は、早く動くほど保全できる証拠が多く、選択肢が広がります。

正確な状況把握ができていなくても構いません。「分からないこと」を整理するところから一緒に始められます。

NDA(守秘義務契約)は初回相談前に締結可能です。緊急時は24時間体制で一次受付を行っています。

無料相談に申し込む
守秘義務契約(NDA)を締結のうえ、状況に合わせた最適な対応をご提案します。
無料相談に申し込む
相談だけでもOK・緊急時は24h一次受付対応