こんにちは！株式会社Definerのライターチームです！ 今回は、GuardDutyで他アカウントからのクレデンシャル使用を検知する方法について気になりますよね。 実際の画面や、資源を見ながら詳しく解説していきましょう。

この記事では、GuardDutyで他アカウントからのクレデンシャル使用を検知したいときに、参考になる情報やプラクティスをまとめています。

GuardDutyは、AWSアカウントやAWSリソースに対する脅威を検知するサービスです。 ソフトウェアのインストールや難しい設定などは不要で、AWSを使用しているユーザであれば簡単に利用を開始できます。 CloudTrailログやVPC フローログなどのデータを分析・モニタリングし、AIを用いてAWS内の悪意のあるアクティビティを検出します。 これには、権限の過剰な付与や公開されている認証情報の使用、悪意のあるIPアドレスからの通信などが含まれます。 また、これまで未使用のリージョンのEC2インスタンスのようなインフラストラクチャのデプロイ、パスワードの強度を落とすためのパスワードポリシー変更なども認識します。   ・GuardDutyの必要性 AWSのようなクラウドを使用してサービスを立ち上げる場合、手軽な反面セキュリティが不十分なまま世に公開されるという場合も散見されます。 特に、検証として開発環境でリソースを作成し、削除せずそのまま忘れている場合などは、よくあるパターンです。 クラウド上のリソースへの攻撃者は年々増えており、リソースをきちんと保護する必要があります。 GuardDutyは、AWSが保有する膨大なログなどのデータを活用してAIが脅威を検知しますので、特にセキュリティに不安意識を抱えている開発現場ではぜひ使用することをお勧めします。

それでは早速、GuardDutyで別アカウントからのクレデンシャル使用を検知していきます。   ①まずはGuardDutyを有効化します。 ②テストとして、アカウント-AでIAMロールを作成し、EC2-Aにアタッチします。 ③EC2-Aで以下コマンドを実行し、クレデンシャルを確認します。 自身のメタデータで、アタッチされているIAMロールのクレデンシャルが確認できます。 ④EC2-Aのクレデンシャルを、アカウントBのEC2-Bにセットしします。 ⑤アカウントBのEC2-Bから、アカウントAに対してCLIを実行してみます。 ⑥GuardDutyを確認すると、重要度「High」で、別アカウントからクレデンシャルが使われた旨のアラートが出ています。 詳細のJSONを確認すると、使用されたアクセスキーのIDが確認できました！  

## クレデンシャルを確認するコマンド

mu=http://169.254.169.254/latest/meta-data/iam/security-credentials/;curl -s $mu | echo $mu$(cat) | xargs -n1 curl

# アクセストークン、アクセスキー、シークレットトークンが表示されます                

## アカウントBからアカウントAにCLIを実行してみる

# プロファイルを作成（取得したキー情報を入力）
aws configure --profile test

# プロファイルを指定してCLI実行
aws ec2 describe-vpcs --profile test                  

Amazon GuardDuty で、別の AWS アカウントから使用された EC2 ... Amazon GuardDuty で EC2 インスタンス認証情報漏洩の検出を強化 ... GuardDuty IAM 検出結果タイプ - Amazon GuardDuty AWSクラウドと コンテナにおける 継続的なセキュリティ Amazon GuardDuty - Amazon GuardDuty ユーザーガイド Amazon GuardDuty - Amazon GuardDuty ユーザーガイド [小ネタ] 全リージョンの GuardDuty結果更新頻度を 15分にして ...

PrismScalerは、開発・運用を要さずにたった3ステップで、AWSやAzure、GCPなどのマルチクラウド基盤構築を実現するWebサービスです。 エンジニアの大変な作業を肩代わり ・自動構築 ・自動監視 ・構成可視化 クラウド基盤に関わる作業を以上のように効率化します。 SRE/DevOpsエンジニアが行う大変な作業を肩代わりします。 高品質な汎用クラウド基盤の実現 ・クラウド基盤構築/クラウド移行 ・クラウドの保守運用・コスト最適化 など幅広い利用シーンを想定しています。IaaSやPaaSを適切に組み合わせた数百を超える高品質な汎用クラウド基盤を容易に実現できます。 興味を持たれた方には、無料で資料を提供しております。 お気軽にご相談ください。

株式会社Definerでは、 ・ITの上流から下流まで一気通貫のワンストップソリューションをご提供。 ・AIやクラウドのITインフラなど、先進的なIT技術のコンサルティングから要件定義 / 設計開発 / 実装、保守運用に至るまでの統合的な支援にコミット。 ・少ないエンジニアで事業が成長する仕組みづくりの実現。 ・エンジニアが喜ぶ、採用しやすい環境づくりの実現。 ・高速なアジャイル開発環境の実現。 ・自社プロダクトとしてPrismScalerを展開。 上記事業内容を進行しております。 ※「開発者ブログ」では、エンジニアの入門編として有益な情報を無料公開しています。 ご相談やお問い合わせは「株式会社Definer」へ。

・　Definer Incは、ITの上流から下流まで一気通貫のワンストップソリューションをご提供しております。 ・　AIやクラウドのITインフラなど、先進的なIT技術のコンサルティングから要件定義 / 設計開発 / 実装、保守運用に至るまでの統合的な支援にコミットしています。 ・　DevOpsとCI/CDコンサルティングにより「少ないエンジニアで事業が成長する仕組みづくり」「エンジニアが喜ぶ、採用しやすい環境づくり」「高速なアジャイル開発環境」を実現しています。 ・　また、自社プロダクトとしてPrismScalerを展開しております。PrismScalerは、AWS、Azure、GCPなどのマルチクラウド / ITインフラの高品質かつ迅速な、「自動構築」「自動監視」「問題検知」「構成可視化」を実現します。