GuardDuty S3 の検出結果タイプ

以下の検出結果は Amazon S3 リソースに固有のもので、データソースが CloudTrail S3 のデータイベントS3Bucketである場合、またはデータソースがCloudTrail 管理イベントAccessKeyである場合、リソースタイプは になります。検出結果の重要度と詳細は、検出結果タイプとバケットに関連付けられている許可によって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。データソースとモデルの詳細については、「基礎データソース」を参照してください。

重要

CloudTrail S3 のデータソースを持つ検出結果は、 で S3 Protection が有効になっている場合にのみ生成されます GuardDuty。2020 年 7 月 31 日よりも後に作成されたすべてのアカウントでは、S3 Protection がデフォルトで有効になっています。S3 Protection を有効または無効にする方法については、「アマゾンにおけるAmazon S3保護 GuardDuty」を参照してください。

すべての S3Bucket タイプの検出結果では、問題のバケットに対するアクセス権限と検出結果に関係するユーザーのアクセス権限を確認することをお勧めします。予期しないアクティビティについては、「侵害された可能性のある S3 バケットの修復」に記載されている修復レコメンデーションを参照してください。

Discovery:S3/AnomalousBehavior

S3 オブジェクトの検出に一般的に使用される API が、異常な方法で呼び出されました。

デフォルトの重要度: [Low] (低)

• データソース: CloudTrail S3 の データイベント

この検出結果は、IAM エンティティが S3 API を呼び出して、環境内の ListObjects などの S3 バケットを検出したことを知らせるものです。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集します。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。例えば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API 呼び出したりした場合です。

この API は、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Discovery:S3/MaliciousIPCaller

AWS 環境のリソースを見つけるために一般的に使われている S3 API は、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 の データイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。一般に、観察された API は、攻撃者が AWS 環境に関する情報を収集している段階である、攻撃機会の発見段階に関連しています。例には、GetObjectAcl や ListObjects が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Discovery:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 の データイベント

この検出結果は、GetObjectAcl または ListObjects などの S3 API が、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせています。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Discovery:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

• データソース: CloudTrail S3 の データイベント

この検出結果は、GetObjectAcl や ListObjects などの S3 API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠しているという意図により、AWS リソースへの未承認のアクセスを示している場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Exfiltration:S3/AnomalousBehavior

IAM エンティティが疑わしい方法で S3 API を呼び出しました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 の データイベント

この検出結果から、IAM エンティティが S3 バケットの関連している API コールを行い、このアクティビティがそのエンティティの確立されたベースラインと異なっていることがわかります。このアクティビティで使用された API コールは、攻撃の抽出段階に関連付けられており、攻撃者はデータを収集します。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。例えば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API 呼び出したりした場合です。

この API は、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Exfiltration:S3/MaliciousIPCaller

AWS 環境からデータを収集するために一般的に使用される S3 API は、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 の データイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は、攻撃者がネットワークからデータを収集しようとしている侵入戦術に一般的に関連しています。例には、GetObject や CopyObject が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Impact:S3/AnomalousBehavior.Delete

IAM エンティティが疑わしい方法でデータを削除をしようとした S3 API を呼び出しました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 の データイベント

この検出結果は、AWS 環境内の IAM エンティティが S3 バケットを含んでおり、この動作はそのエンティティの確立されたベースラインとは異なっていることを知らせるものです。このアクティビティで使用された API コールは、データを削除しようとする攻撃に関連付けられています。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。例えば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API 呼び出したりした場合です。

この API は、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、以前のオブジェクトバージョンを復元できるかどうか、または復元する必要があるかどうかを判断することをお勧めします。

Impact:S3/AnomalousBehavior.Permission

アクセスコントロールリスト (ACL) のアクセス許可設定に一般的に使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 の データイベント

この検出結果は、AWS 環境内の IAM エンティティがリストされている S3 バケットのバケットポリシーまたは ACL を変更したことを知らせるものです。この変更により、S3 バケットが認証された AWS ユーザーすべてに公開される可能性があります。

この API は、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、オブジェクトが予期せずパブリックアクセスを許可されていなかったか確認することをお勧めします。

Impact:S3/AnomalousBehavior.Write

IAM エンティティが疑わしい方法でデータの書き込みをしようとした S3 API を呼び出しました。

デフォルトの重要度: [Medium] (中)

• データソース: CloudTrail S3 の データイベント

この検出結果は、AWS 環境内の IAM エンティティが S3 バケットを含んでおり、この動作はそのエンティティの確立されたベースラインとは異なっていることを知らせるものです。このアクティビティで使用された API コールは、データを書き込もうとする攻撃に関連付けられています。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。例えば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API 呼び出したりした場合です。

この API は、 GuardDutyの異常検出機械学習 (ML) モデルによって異常として識別されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、この API 呼び出しが悪意のあるデータや不正なデータを書き込んでいなかったか確認することをお勧めします。

Impact:S3/MaliciousIPCaller

AWS 環境中のデータまたはプロセスの改ざんに一般的に使用される S3 API は、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 の データイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は、攻撃者が AWS 環境内のデータを操作、中断、または破壊しようとする影響戦術に一般的に関連しています。例には、PutObject や PutObjectAcl が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

PenTest:S3/KaliLinux

S3 API が Kali Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

• データソース: CloudTrail S3 の データイベント

この検出結果は、Kali Linux が実行されているマシンで AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

PenTest:S3/ParrotLinux

S3 API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

• データソース: CloudTrail S3 のデータイベント

この検出結果は、Parrot Security Linux が実行されているマシンで、AWS アカウントに属するの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

PenTest:S3/PentooLinux

S3 API が Pentoo Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

• データソース: CloudTrail S3 のデータイベント

この検出結果は、Pentoo Linux が実行されているマシンで AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Policy:S3/AccountBlockPublicAccessDisabled

IAM エンティティが、アカウント上の S3 ブロックパブリックアクセスを無効にするために使用される API を呼び出しました。

デフォルトの重要度: [Low] (低)

• データソース: CloudTrail 管理イベント

この検出結果は、Amazon S3 ブロックパブリックアクセスがアカウントレベルで無効されたことを知らせるものです。S3 ブロックパブリックアクセス設定が有効化されると、それらはデータが誤って公開されるのを防ぐためのセキュリティ対策として、バケット上でポリシー、またはアクセスコントロールリスト (ACL) をフィルタリングするために使われます。

バケット内、またはバケット内のオブジェクトへの公開アクセスを許可するために、通常、S3 ブロックパブリックアクセスは、アカウントでは無効になっています。アカウントのために S3 ブロックパブリックアクセスを無効にすると、バケットへのアクセスは、個々のバケットに適用されるポリシー、ACL、またはバケットレベルのパブリックアクセス設定によって制御されます。これは、必ずしもバケットがパブリックに共有されているということではありませんが、アクセスへの適切なレベルが提供されているのを確認するために、バケットに対して適用される許可を監査する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Policy:S3/BucketAnonymousAccessGranted

IAM プリンシパルは、バケットポリシーまたは ACL を変更することにより、インターネットへの S3 バケットへのアクセスを許可しています。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail 管理イベント

この検出結果から、IAM エンティティが、そのバケット上のバケットポリシーまたは ACL を変更したため、リストされた S3 バケットがインターネット上でパブリックにアクセス可能になったことを知らせるものです。ポリシーまたは ACL の変更が検出された後に、Zelkova によって提供された自動推論を使用して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが明示的に拒否またはすべてを拒否するように設定されている場合、この検出結果はバケットの現在の状態を反映していない可能性があります。この検出結果には、S3 バケットで有効になっている可能性のある S3 ブロックパブリックアクセス設定は反映されません。このような場合、検出結果の effectivePermission 値には UNKNOWN としてマークされます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Policy:S3/BucketBlockPublicAccessDisabled

IAM エンティティが、バケットの S3 ブロックパブリックアクセスを無効にするために使用される API を呼び出しました。

デフォルトの重要度: [Low] (低)

• データソース: CloudTrail 管理イベント

この検出結果から、リストされた S3 バケットのために、ブロックパブリックアクセスが無効になったことを知らせるものです。有効にすると、S3 ブロックパブリックアクセス設定が使われ、バケットに適用されるポリシーまたは アクセスコントロールリスト (ACL) をフィルタリングし、データが誤って公開される安全対策となります。

通常、S3 ブロックパブリックアクセスは、バケット上で無効にされ、バケットまたはバケット内のオブジェクトへの公開アクセスを許可します。S3 ブロックパブリックアクセスがこのバケットに対して無効になっている場合、バケットに適用されるポリシーまたはそれに適用される ACL によって、バケットへのアクセスが制御されます。これは、バケットがパブリックに共有されているということではありませんが、バケットに適用されているポリシーと ACL を監査して、適切な許可が適用されていることを確認する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Policy:S3/BucketPublicAccessGranted

バケットポリシーまたは ACL を変更することにより、IAM プリンシパルは、AWS ユーザーに対する S3 バケットへのパブリックアクセスを許可しました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail 管理イベント

この検出結果は、リストされた S3 バケットが認証されたすべての AWS ユーザーに対してパブリックに公開されたことを知らせるものです。これは、IAM エンティティが、その S3 バケットバケット上のバケットポリシーまたは ACL を変更したためです。ポリシーまたは ACL の変更が検出された後に、Zelkova によって提供された自動推論を使用して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが明示的に拒否またはすべてを拒否するように設定されている場合、この検出結果はバケットの現在の状態を反映していない可能性があります。この検出結果には、S3 バケットで有効になっている可能性のある S3 ブロックパブリックアクセス設定は反映されません。このような場合、検出結果の effectivePermission 値には UNKNOWN としてマークされます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Stealth:S3/ServerAccessLoggingDisabled

バケットのために S3 サーバーアクセスのログ記録が無効になりました。

デフォルトの重要度: [Low] (低)

• データソース: CloudTrail 管理イベント

この検出結果は、AWS 環境内のバケットのために、サーバーアクセスのログ記録が無効になっていることを知らせるものです。無効にすると、識別された S3 バケットにアクセスしようとする試みに対してウェブリクエストログは作成されませんが、 などのバケットへの S3 管理 API コールDeleteBucketは引き続き追跡されます。このバケット CloudTrail で S3 データイベントのログ記録が を介して有効になっている場合、バケット内のオブジェクトに対するウェブリクエストは引き続き追跡されます。ログ記録の無効化は、許可されていないユーザーがその形跡を隠すために頻繁に使用する手法です。S3 ログの詳細については、「S3 サーバーアクセスログ」と「S3 ログオプション」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 の データイベント

この検出結果は、アップロードした脅威リストに含まれたIP アドレスから S3 API オペレーション (PutObject や PutObjectAcl など) が呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

• データソース: CloudTrail S3 のデータイベント

この検出結果は、Tor 出口ノードの IP アドレスから S3 API オペレーション (PutObject や PutObjectAcl など) が呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この検出結果は、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。