AWSでの不正アクセスの傾向と対策

ASCII.jp：オンプレとどこが違う？　実例に見るAWSでの不正アクセスの傾向と対策
http://ascii.jp/elem/000/001/549/1549718/

オンプレミス環境の場合は、ハードディスクのイメージコピーを取得してデジタル・フォレンジックを行なうのが定石で、そのための専用装置も提供されている。「だがAWSでは、HDDを抜いてきてコピーすることはできず、こういう方法が使えないので、ソフトウェアによるイメージコピーを使う」（関さん）ことになる。もしAWS上のインスタンスでインシデントが発覚したら、やられてしまったボリュームのスナップショットを作成し、それを調査用インスタンスにアタッチした後、ddコマンドを用いてイメージを取得することになる。あとは専門業者に任せるか、デジタル・フォレンジック用のソフトウェアを用いて解析を行なえばよい。

「だが、時間をかけてはいられないとき、あるいは調査用にマスターアカウントをもらえないときには、SSHで接続し、コマンドを続けて打つことでローカルにイメージ出力を吐く、あるいはライブイメージングという方法もあることを知っていてほしい」（関さん）。時間がかかるように思えるが、圧縮をかければ意外と早く処理できるという。これはまた、AWSに限らず他のクラウドサービスや、物理的に立ち入りができないデータセンターでも活用可能な方法だ。