AWSでは、さまざまなサービスが自動的に作成する「デフォルトロール(サービスロール)」が存在します。これらのロールは便利な反面、IAM設定に不備があると、意図せず高い権限が付与され、攻撃者に悪用されるリスクがあります。
このような初期設定のまま運用されたロールは、第三者による特権昇格やサービス乗っ取りの踏み台となる可能性があり、被害が起きてからでは対処が難しくなります。
そこで本記事では、AWSデフォルトロールの仕組みとそのリスク構造、実際に起き得る攻撃パターンとその被害、インシデント発生時に行うべき調査手順、そして予防的な設計の考え方までをわかりやすく解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
AWSデフォルトロールの正体とは
本章では、Amazon Web Services(以下、AWS)上で自動的に作成される「デフォルトロール」 の定義と、設計・運用上の注意点を整理します。
AWSでは多くのマネージドサービスが、利用開始時にIAMロールを自動生成します。
これらは利便性の高い仕組みである一方、利用者の管理意識から外れやすく、セキュリティリスクの温床となるケースが少なくありません。
サービスロールとサービスリンクロールの違い
AWSでは、サービスが他のAWSリソースへアクセスするためのIAMロールとして、主に以下の2種類が存在します。
- サービスロール…ユーザー操作を契機に自動作成され、特定のジョブや処理の実行主体となるロール
- サービスリンクロール…特定のAWSサービス専用に設計され、作成・管理の一部をAWS側が担うロール
いずれも ユーザーが明示的に作成しないことが多く、存在や権限内容が十分に把握されないまま運用されがち という共通点があります。
Shadow Roles(影のロール)というリスク
実務上、特に問題となるのが Shadow Roles(影のロール) と呼ばれる存在です。
これは正式なAWS用語ではありませんが、セキュリティ分野では「AWSサービスが自動生成し、
利用者が把握・管理・監査していないIAMロール」を指します。
代表的な例として、以下が挙げられます。
- Amazon SageMaker Notebook / Processing Job の Execution Role
- AWS Glue Job 実行ロール
- Amazon EMR デフォルトロール
- AWS CloudFormation サービスロール
これらは IaC(CloudFormation / Terraform)管理外 となることが多く、
さらに AmazonS3FullAccess や iam:PassRole などの過剰権限が付与されたまま放置されるケースが頻繁に確認されています。
ロール自動作成による想定外の権限付与
Glue や SageMaker など一部のサービスでは、初期設定として 非常に広範な権限を含むロール が自動的に割り当てられることがあります。
開発・検証段階では利便性が高いものの、本番環境において最小権限へ見直されないまま運用されると、侵害時の影響範囲が一気に拡大する要因 となりま
初期状態のまま放置されるリスク
CloudFormation や Terraform による管理対象外となっているロールは、削除・権限制御・棚卸しの対象から漏れる可能性があります。
さらに、CloudTrail 等の監査ログが十分に設定されていない場合、インシデント発生後に侵入経路や影響範囲を特定できなくなる 恐れがあります。
このように、AWSデフォルトロールは「自動生成」「管理外」「過剰権限」という条件が重なった場合、
特権昇格やサービス横断的な侵害の起点となり得る点に注意が必要です。
AWSの特権昇格の手口とは
Amazon Web Services(以下、AWS)における特権昇格は、単一の脆弱性ではなく、IAMロール・一時クレデンシャル・STS の組み合わせ によって成立します。
本章では、デフォルトロールが持つ権限がどのように攻撃者の手に渡り、段階的により高い権限へと拡張されていくのか、代表的なパターンを整理します。
過剰権限ポリシーとワイルドカード指定
AMポリシーにおける"Action": "*"、"Resource": "*" といったワイルドカード指定は、
意図せず 管理者権限に近い操作能力 を付与する原因となります。
特に以下の権限が含まれる場合、影響は深刻です。
- sts:AssumeRole
- iam:PassRole
- s3:* または AmazonS3FullAccess
AWS Glue やAWS Batch のジョブ実行ロールにこれらが含まれていると、攻撃者は当該ロールを起点として 他ロールへの切り替えやサービス横断操作 を実行可能となります。
コンテナ・バッチ処理経由でのロール窃取
コンテナ環境やバッチ処理環境では、割り当てられたIAMロールの 一時クレデンシャル が以下の経路で取得可能です。
- インスタンスメタデータAPI
- 環境変数
これにより、攻撃者は「実行環境を侵害→Execution Role の一時クレデンシャルを取得→当該IAMロールとしてAWS APIを実行」という形で、サービスになりすました操作 を行うことが可能になります。
EC2・Lambda経由でのSTS呼び出し
IAMロールに対して「sts:AssumeRole」が許可されている場合、攻撃者はAmazon EC2 やAWS Lambda を踏み台として、他のIAMロールへ切り替えることができます。
この AssumeRole の連鎖(ロールチェーン) に明示的な制限が設けられていない場合、
最終的に管理者権限を持つロールへ到達する可能性があります。
AWSにおける特権昇格は、単一ロールの過剰権限ではなく、ロール間の信頼関係設計不備によって成立する点が大きな特徴です。
AWSサービスが乗っ取られるまでの流れ
特権昇格に成功した後、攻撃者はどのようにしてGlueやSageMaker、ECSといったAWSサービスを支配下に置くのかを見ていきます。
サービスデプロイと設定改ざん
攻撃者は、SageMaker の Notebook や Processing Job、
Glue のジョブ定義などを改ざんし、不正なコードを注入します。
あわせて
- 実行IAMロールの差し替え
- 暗号化キー(KMS)の指定変更
- 出力先S3バケットの変更
以上を行うことで、正規処理を装った情報流出 や外部環境へのデータ転送を実現します。
これらの操作は、通常の業務処理と区別がつきにくい点が特徴です。
データ窃取と他システムへの横展開
侵害されたジョブやタスクが持つ権限を利用し、攻撃者は以下のようなサービスへ横断的にアクセスします。
- Amazon S3
- Amazon RDS
- Amazon Athena
取得したデータは、別リージョンや別AWSアカウントへ転送されるケースも確認されています。
さらに、AWS Lambda やAmazon API Gatewayと組み合わせることで、永続的な外部通信経路 が構築され、侵害が長期化する恐れがあります。
検知回避・ログ改ざん・痕跡削除
攻撃の後半では、可視性を低下させる操作 が行われることがあります。
具体的な攻撃は以下の通りです。
- CloudTrail の設定変更や一時的な無効化
- ログ出力先S3バケットの変更
- ログ保持期間の短縮
- 監視対象外リソースを利用した活動
などにより、運用チームが異常に気づいた時点では、既にリソース改ざんやデータ流出が完了している可能性があります。
ロール悪用インシデントのフォレンジック調査
実際にAWS環境でデフォルトロールを経由した不正アクセスが疑われた場合、正確な原因究明と範囲把握のために、フォレンジック調査が不可欠です。
フォレンジック調査で明らかにするべき情報
CloudTrailログとロール履歴の分析
AWSアカウント全体の操作履歴を追えるCloudTrailは、最も重要な証拠ソースです。対象ロールのAssumeRole実行や、異常なサービス呼び出しを時系列で確認し、不正な切り替えが行われた時点を特定します。
併せて「IAM Credential Report」や「Access Advisor」でロールの利用履歴を調査することで、アクセスが集中した時間帯や権限行使の偏りも浮かび上がります。
各サービスの実行ログとイベント履歴
SageMakerやECS、Glueなどの実行ログ(Job履歴やイベント通知)を取得し、不審なコードや変更された構成を突き止めます。CloudWatchロググループやS3への出力データも含めて、外部送信やファイル出力の経路をたどることが可能です。
タイムライン構築と攻撃者行動の再現
各種ログから操作や出力の時系列を再構築し、攻撃者がどのような順序で操作したかを明らかにします。このプロセスでは、痕跡の連続性と完全性を担保する必要があり、専門的な手順と証拠保全技術が求められます。
以上のようにAWS環境におけるロール悪用インシデントの調査では、
単なるログ確認にとどまらず、証拠の完全性・再現性・時系列整合性が重要となります。
特に以下のようなケースでは、フォレンジックを専門とする第三者への相談が推奨されます。
- CloudTrail が部分的に欠損・無効化されている場合
- 複数リージョン・複数アカウントにまたがる侵害が疑われる場合
- 影響範囲の確定や対外説明(監査・法務対応)が求められる場合
- 内部対応チームが当事者となり、客観性の担保が難しい場合
専門家による調査では、AWSの内部仕様やサービス間連携を踏まえた高度なログ相関分析や、
証拠保全を意識した調査手順が採用されるため、事後対応の信頼性と再発防止策の精度向上 に寄与します。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃、社内不正といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | 情報漏洩調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
AWSの特権昇格の再発防止と安全なIAM設計の考え方
一度インシデントが発生すると、再発を防ぐための継続的な管理体制の見直しが必要になります。特にIAMロールとログ設計には、恒久的な改善の余地があります。
最小権限の徹底と定期レビュー
すべての IAM ロールに対し、
必要な操作のみを明示的に許可する最小権限設計 を徹底することが基本となります。特に、サービスが自動生成する デフォルトロールやExecution Role についても例外としないようにしましょう。
- 使用されていない権限
- 過剰に広いポリシー
- 想定外のサービスアクセス
を定期的に洗い出し、削除・縮小する運用が求められます。
IAM Access Analyzer などのツールを活用することで、実際の利用状況に基づいた権限見直しが可能です。
監査ログの設計と保存体制の整備
CloudTrailやConfigなどの監査ログは、保存先・保存期間・改ざん防止の3点を基準に見直す必要があります。ログの自動転送やアーカイブ設計も含めて、証拠保全を前提とした構成が求められます。
自動化された異常検知とアラート連携
Amazon GuardDuty やAWS Security Hub を利用することで、IAMロールの異常な利用や不審なAPI呼び出しを自動的に検知できます。
検知結果を Slack や PagerDuty などの通知基盤と連携させることで、初動対応の迅速化と被害拡大の抑止 が可能となります。