CloudTrailで「マルチリージョンの証跡」を有効化し、ログをS3に格納しています。
S3バケットを確認したところ、利用可能な全リージョンで、同じ時間帯に身に覚えのない「ListFunctions20150331」が記録されていました。原因を解明したく、同じような事象に遭遇された方や原因に心当たりがある方がいれば、ご教授いただければ幸いです。
【補足】
・他に不審なアクティビティは特にありませんでした。リソースやアクセスキーが作成・変更された形跡もありませんでした。
・ログが記録されたリージョン:ap-northeast-1/ap-northeast-2/ap-northeast-3/ap-south-1/ap-southeast-1/ap-southeast-2/ca-central-1/eu-central-1/eu-north-1/eu-west-1/eu-west-2/eu-west-3/sa-east-1/us-east-1/us-east-2/us-west-1/us-west-2/
・CloudTrailログの中身は以下です(一部マスキング。sa-east-1のログを抜粋)。userNameは普段利用しているユーザーでした。アクセスキーは発行していません。sourceIPAddress は自宅で利用しているIPアドレスでした。
・Lambda関数は東京リージョンにデプロイしていますが、他リージョンには存在しません。
・東京・バージニア以外のリージョンは全く利用していません。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "IAMUser",
"principalId": "<自分のAWSアカウント>",
"arn": "<いつも利用しているユーザー>",
"accountId": "<自分のAWSアカウント>",
"accessKeyId": "<ASIAから始まるID>",
"userName": "<いつも利用しているユーザー>",
"sessionContext": {
"sessionIssuer": {},
"webIdFederationData": {},
"attributes": {
"creationDate": "2024-07-11T02:58:45Z",
"mfaAuthenticated": "true"
}
}
},
"eventTime": "2024-07-11T06:23:45Z",
"eventSource": "lambda.amazonaws.com",
"eventName": "ListFunctions20150331",
"awsRegion": "sa-east-1",
"sourceIPAddress": "<自宅のIPアドレス>",
"userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36",
"requestParameters": null,
"responseElements": null,
"requestID": "c511baa7-f634-4c7b-941e-dd96b95b3e1a",
"eventID": "506f53c0-355e-4263-b7c4-798bc4a6ab49",
"readOnly": true,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "<自分のAWSアカウント>",
"eventCategory": "Management",
"tlsDetails": {
"tlsVersion": "TLSv1.3",
"cipherSuite": "TLS_AES_128_GCM_SHA256",
"clientProvidedHostHeader": "lambda.sa-east-1.amazonaws.com"
},
"sessionCredentialFromConsole": "true"
}
