自分が作成したEC2が「外部への不正アクセスの疑いがある」とAWSからメールが届いた

今回起きたこと

• 2026年2月7日（土）3時57分、AWSから自分が作成したEC2が「外部への不正アクセス（攻撃行為）に関与している可能性がある」という通知メールが届いた

想定される原因

① 開発した機能が疑われた可能性

• 該当する機能は実装していないため可能性は低い

② 外部からの不正アクセス

• 状況から見て、第三者によりサーバーが侵害された可能性が高いと判断

調査内容

以下の観点で調査を実施した。

• いつ発生したのか
• サーバーへのログイン履歴
• EC2のリソース状況
• • CPU使用率
  • CPUクレジット残高
• 不正なツールやプロセスが動いていないか

※ 調査手順や確認コマンドはChatGPTを参考に実施

調査結果

• 不審なプロセス・ツールを調査した結果、これらがサーバー内にインストールされていたことを確認
• • 暗号資産のマイニングツール
    （コンピュータの計算能力を使って不正に利益を得るもの）
  • 次の攻撃対象を探すためのスキャンツール
    
• サーバーへのログイン履歴
• • SSHによるログイン履歴を確認したが、身に覚えのないログインの痕跡は確認されなかった
    
• EC2のリソース状況 2026年2月2日から
• • CPU使用率: 通常時が0.2%に対して50%ほどになっていた
  • CPUクレジット残高: 通常時165に対して0になっていた

考察

• SSHログイン履歴がないことから、WEBアプリケーション経由の脆弱性を突かれた可能性が高い
• 外部から侵入され、サーバーが踏み台として利用された可能性が高い

実施した対策

• npm audit を実行し、インストールされているライブラリの脆弱性を確認・修正
• セキュリティグループの再確認
• • アウトバウンド通信の制限し、不要な宛先へ通信できないようルールを絞った
• データベースのパスワード変更
• EC2のキーペアを再作成

EC2インスタンスの再構築で対策したこと

• Amazon EC2上のOSおよびミドルウェアを最新の状態に更新し、既知の脆弱性を解消
• SSHの認証方式を見直し、パスワード認証を無効化して公開鍵認証のみに限定
• rootユーザーによる直接ログインを禁止し、不正侵入時の被害拡大を防止
• fail2banを導入し、SSHへの不正ログイン試行を検知・遮断
• dnf-automaticによるセキュリティアップデートの自動適用を設定し、継続的なセキュリティ対策を実施

今後は毎日EC2の確認をする！！