メニュー
Amazon GuardDuty
Amazon Guard Duty ユーザーガイド

Amazon GuardDuty の結果タイプ

結果タイプの形式

GuardDuty は、AWS 環境内で不審な動作や予期しない動作を検出すると、結果を生成します。結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。結果の詳細には、発生した結果、不審な動作に関与している AWS リソース、このアクティビティの発生日時などの情報が含まれます。

結果の詳細で最も役立つ情報の 1 つは、結果タイプです。結果タイプの目的は、潜在的なセキュリティ問題について簡潔でわかりやすい説明を提供することです。たとえば、GuardDuty の Recon:EC2/PortProbeUnprotectedPort 結果タイプは、AWS 環境の EC2 インスタンスに保護されていないポートがあり、これを攻撃者が見つけようとしていることを迅速に知らせます。

GuardDuty では、さまざまな結果タイプを次の形式で生成します。

ThreatPurpose:ResourceTypeAffected/ThreatFamilyName.ThreatFamilyVariant!Artifact

形式の各部分について以下に説明します。

  • ThreatPurpose は、脅威または潜在的な攻撃の主な目的についての説明です。現行リリースの GuardDuty では、ThreatPurpose を以下の値に設定できます。

    • Backdoor – この値では、AWS リソースが攻撃を受けていることを知らせます。また、ホームのコマンドアンドコントロール (C&C) サーバーに連絡し、悪意のあるアクティビティに対処する詳細な手順を受け取ることができます。

    • Behavior – この値は、特定の AWS リソースの確立されたベースラインとは異なるアクティビティやアクティビティパターンが GuardDuty で検出されたことを示します。

    • Cryptocurrency – この値は、ビットコインやイーサリアムなどの暗号通貨に関連付けられたソフトウェアが GuardDuty で検出されたことを示します。

    • Pentest – AWS リソースの所有者や承認された担当者は、オープンなセキュリティグループや制限が少なすぎるアクセスキーなどの脆弱性を見つけるために、AWS アプリケーションに対して意図的にテストを実行する場合があります。これらのペンテストは、攻撃者が気づく前に脆弱なリソースを特定してロックダウンする目的で実行されます。ただし、承認済みペンテスターが使用する一部のツールは一般的なものであるため、不正なユーザーや攻撃者がこのテストに便乗して利用する場合があります。GuardDuty では、このようなアクティビティの真の意図は特定できませんが、この Pentest 値により、このようなアクティビティが GuardDuty で検出されたこと、および既知のペンテストツールで生成されたアクティビティと類似していることを示します。したがって、これは攻撃の可能性があります。

    • Recon – この値は、偵察攻撃が進行中であり、ポートを調査したり、ユーザーやデータベーステーブルをリストアップしたりするなど、AWS 環境の脆弱性を探そうとしていることを示すます。

    • Stealth – この値は、攻撃のアクションや形跡を巧みに隠そうとしていることを示します。たとえば、攻撃者が匿名化したプロキシサーバーを使用し、アクティビティの真の意図をほぼ判断不能にしている場合があります。

    • Trojan – この値は、悪意のあるアクティビティを密かに実行するトロイの木馬プログラムが攻撃に使用されていることを示します。この種のソフトウェアは合法的なプログラムを装う場合があり、ユーザーが誤って実行することがあります。脆弱性を特定して自動的に実行されることもあります。

    • UnauthorizedAccess – この値は、承認されていない個人による不審なアクティビティまたは不審なアクティビティパターンが GuardDuty で検出されたことを示します。

  • ResourceTypeAffected – この結果では、攻撃対象の候補として特定された AWS リソースを示します。現行リリースの GuardDuty では、EC2 インスタンスと IAM ユーザー (およびその認証情報) のみが、影響を受けるリソースとして GuardDuty の結果で識別できます。

  • ThreatFamilyName – GuardDuty で検出された全体的な脅威または潜在的な悪意のあるアクティビティの説明です。たとえば、NetworkPortUnusual の値は、GuardDuty の結果で識別された EC2 インスタンスに、同じ結果で識別された特定のリモートポートでの通信履歴がないことを示します。

  • ThreatFamilyVariant – GuardDuty で検出された ThreatFamily の特定のバリアントを記述します。通常、攻撃者は攻撃の機能をわずかに変更して新しいバリアントを作成します。

  • Artifact – 攻撃で使用されているツールが所有する特定のリソースを示します。たとえば、結果タイプ CryptoCurrency:EC2/BitcoinTool.B!DNS の「DNS」は、EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを示します。

GuardDuty 結果タイプの詳細なリスト

GuardDuty で生成される各結果タイプは以下のとおりです。

Backdoor:EC2/XORDDOS

結果の説明

EC2 インスタンスが通信しようとしている IP アドレスには XorDDos マルウェアが関連付けられています。

この結果では、AWS 環境の EC2 インスタンスが通信しようとしている IP アドレスに XorDDos マルウェアが関連付けられていることを知らせます。この EC2 インスタンスは侵害されている可能性があります。XOR DDoS は、Linux システムをハイジャックするトロイの木馬マルウェアです。システムへのアクセスを得るため、このマルウェアは Linux 上の Secure Shell (SSH) サービスへのパスワードを発見するためのブルートフォース攻撃を開始します。SSH 認証情報を取得してログインに成功すると、root 権限を使用して XOR DDoS をダウンロードしてインストールするスクリプトを実行します。次に、このマルウェアはボットネットの一部として、他のターゲットに対する分散型サービス拒否 (DDoS) 攻撃を開始します。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/Spambot

結果の説明

EC2 インスタンスがポート 25 でリモートホストと通信して通常と異なる動作を示しています。

この結果では、AWS 環境の EC2 インスタンスがポート 25 でリモートホストと通信していることを知らせます。この EC2 インスタンスにはポート 25 での通信履歴が以前にないため、この動作は通常と異なります。従来、ポート 25 はメールサーバーで SMTP 通信のために使用されています。EC2 インスタンスが侵害されていて、スパムを送信している可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/C&CActivity.B!DNS

結果の説明

EC2 インスタンスは、既知のコマンドアンドコントロールサーバーでホストされているドメインとアウトバウンド通信をしています。

この結果では、AWS 環境の EC2 インスタンスがアウトバウンド通信しているドメインが既知のコマンドアンドコントロール (C&C) サーバーに関連付けられていることを知らせます。EC2 インスタンスは侵害されている可能性があります。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Behavior:IAMUser/InstanceLaunchUnusual

結果の説明

IAM ユーザーが起動した EC2 インスタンスのタイプが通常と異なります。

この結果では、AWS 環境の特定の IAM ユーザーが、確立されたベースラインとは異なる動作を示していることを知らせます。この IAM ユーザーには、このタイプの EC2 インスタンスを起動した履歴がありません。IAM ユーザーの認証情報は侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

Behavior:EC2/NetworkPortUnusual

結果の説明

EC2 インスタンスが通常と異なるポートでリモートホストと通信しています。

この結果では、AWS 環境の EC2 インスタンスの動作が、確立されたベースラインから逸脱していることを知らせます。この EC2 インスタンスには、このリモートポートでの通信履歴がありません。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Behavior:EC2/TrafficVolumeUnusual

結果の説明

EC2 インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成しています。

この結果では、AWS 環境の EC2 インスタンスの動作が、確立されたベースラインから逸脱していることを知らせます。この EC2 インスタンスでは、このリモートホストに対してこれほど大量のトラフィックを送信した履歴がありません。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

CryptoCurrency:EC2/BitcoinTool.A

結果の説明

EC2 インスタンスはビットコインマイニングプールと通信しています。

この結果では、AWS 環境の EC2 インスタンスがビットコインマイニングプールと通信していることを知らせます。暗号通貨マイニングの分野で、マイニングプールとはマイナー (採掘者) によるリソースの共同出資 (プール) であり、ネットワークで処理能力を共有し、ブロックの解決に貢献した度合いに応じて報酬の分配を受ける仕組みです。この EC2 インスタンスをビットコインマイニングに使用していない限り、EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

CryptoCurrency:EC2/BitcoinTool.B!DNS

結果の説明

EC2 インスタンスは、ビットコインに関連する既知のドメインと通信しています。

この結果では、AWS 環境の EC2 インスタンスがビットコインに関連する既知のドメインと通信していることを知らせます。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。ビットコインは、ビットコインマイニングの報酬として作成されるほかに、他の通貨、製品、サービスと交換することができます。この EC2 インスタンスを暗号通貨のマイニングや管理に使用していない限り、EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

PenTest:IAMUser/KaliLinux

結果の説明

API が Kali Linux EC2 インスタンスから呼び出されました。

この結果では、Kali Linux が実行されているマシンで AWS アカウントの認証情報を使用して API コールが行われていることを知らせます。認証情報は侵害されている可能性があります。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用し、EC2 設定の脆弱性を見つけて AWS 環境への未承認のアクセスを取得する場合があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

Recon:EC2/PortProbeUnprotectedPort

結果の説明

EC2 インスタンスの保護されていないポートを既知の悪意のあるホストが探しています。

この結果では、AWS 環境の EC2 インスタンスに、セキュリティグループ、アクセスコントロールリスト (ACL)、またはホストのファイアウォール (Linux IPChains など) でブロックされていないポートがあり、これをインターネットの既知のスキャナーが巧みに見つけようとしていることを知らせます。保護されていないポートとして 22 または 3389 が特定され、この EC2 インスタンスの接続に通常 SSH/RDP を使用しているため、どちらのポートに対するアクセスもブロックできない場合、これらのポートへのアクセスを社内ネットワーク IP アドレス空間の IP アドレスにのみ許可することで公開を制限できます。Linux でポート 22 へのアクセスを制限するには、http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/authorizing-access-to-an-instance.html を参照してください。Windows でポート 3389 へのアクセスを制限するには、http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/authorizing-access-to-an-instance.html を参照してください。

詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Recon:IAMUser/TorIPCaller

結果の説明

API が Tor 出口ノードの IP アドレスから呼び出されました。

この結果では、AWS リソースをリストアップまたは記述できる API オペレーションが Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは偵察攻撃であり、匿名ユーザーが悪意のある目的で情報の収集や AWS リソースへのアクセスを試行している可能性があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

Recon:IAMUser/MaliciousIPCaller.Custom

結果の説明

API がカスタム脅威リストにある IP アドレスから呼び出されました。

この結果では、AWS リソースをリストアップまたは記述できる API オペレーションが、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。GuardDuty の場合、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて結果を生成します。これは偵察攻撃であり、匿名ユーザーが悪意のある目的で情報の収集や AWS リソースへのアクセスを試行している可能性があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

Recon:IAMUser/MaliciousIPCaller

結果の説明

API が既知の悪意のある IP アドレスから呼び出されました。

この結果では、AWS リソースをリストアップまたは記述できる API オペレーションが、脅威リスト内の IP アドレスから呼び出されたことを知らせます。GuardDuty の場合、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty は、カスタムまたは内部の脅威リストに基づいて結果を生成します。これは偵察攻撃であり、匿名ユーザーが悪意のある目的で情報の収集や AWS リソースへのアクセスを試行している可能性があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

Recon:EC2/Portscan

結果の説明

EC2 インスタンスがリモートホストにアウトバウンドポートスキャンを実行しています。

この結果では、AWS 環境の EC2 インスタンスが短時間内に複数のポートに接続しようとしており、ポートスキャン攻撃を行っている可能性があることを知らせます。ポートスキャン攻撃の目的は、開いているポートを見つけ、マシンで実行されているサービスを発見してそのオペレーティングシステムを特定することです。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Stealth:IAMUser/PasswordPolicyChange

結果の説明

アカウントのパスワードポリシーが弱化されています。

AWS アカウントのパスワードポリシーが弱化されています。たとえば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この結果は、通常とは異なる場所、時間、またはユーザーから AWS アカウントのパスワードポリシーの更新または削除が試行された場合にもトリガーされます。AWS アカウントのパスワードポリシーでは、IAM ユーザーに設定できるパスワードの種類を規定するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

Stealth:IAMUser/CloudTrailLoggingDisabled

結果の説明

AWS CloudTrail の証跡が無効化されています。

この結果では、AWS 環境内での CloudTrail の証跡が無効化されたことを知らせます。攻撃者が追跡対象となるログ記録を無効化し、アクティビティの形跡を消すことで、悪意のある目的で AWS リソースにアクセスしようとしている可能性があります。この結果は、通常とは異なる場所、時間、またはユーザーから証跡の削除や更新が試行された場合にもトリガーされます。また、GuardDuty に関連付けられた証跡から、ログを保存する S3 バケットの削除が試行された場合にもトリガーされます。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

Trojan:EC2/BlackholeTraffic

結果の説明

EC2 インスタンスがブラックホール IP アドレスに接続しようとしています。

この結果では、AWS 環境の EC2 インスタンスがブラックホール IP アドレスに接続しようとしているため、このインスタンスが侵害されている可能性があることを知らせます。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、目的の受取人にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DropPoint

結果の説明

EC2 インスタンスが通信しているリモート IP アドレスの認証情報やその他のデータは、マルウェアによる盗用が確認されています。

この結果では、AWS 環境の EC2 インスタンスが通信している IP アドレスが、マルウェアによって盗まれた可能性がある認証情報やその他のデータのストレージ場所と関連付けられていることを知らせます。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/BlackholeTraffic!DNS

結果の説明

EC2 インスタンスがブラックホール DNS に接続しようとしています。

この結果では、AWS 環境の EC2 インスタンスがブラックホール DNS に接続しようとしているため、このインスタンスが侵害されている可能性があることを知らせます。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所を指し、目的の受取人にデータが届いていないことは送信元に知らされません。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DriveBySourceTraffic!DNS

結果の説明

EC2 インスタンスが通信しているドメインは、ドライブバイダウンロードを利用したマルウェア配信をホストしていることが確認されています。

この結果では、AWS 環境の EC2 インスタンスが通信しているドメインがドライブバイダウンロードを利用したマルウェア配信をホストしているため、このインスタンスが侵害されている可能性があることを知らせます。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールをトリガーする場合があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DropPoint!DNS

結果の説明

EC2 インスタンスが通信しているドメインの認証情報やその他のデータは、マルウェアによる盗用が確認されています。

この結果では、AWS 環境の EC2 インスタンスが通信しているドメインが、マルウェアによって盗まれた可能性がある認証情報やその他のデータのストレージ場所と関連付けられていることを知らせます。EC2 インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DGADomainRequest.B

結果の説明

EC2 インスタンスが DGA ドメインをクエリしようとしています。

この結果では、AWS 環境の EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます。EC2 インスタンスは侵害されている可能性があります。DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。C&C サーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DNSDataExfiltration

結果の説明

EC2 インスタンスが DNS クエリを通じてデータを密かに抽出しようとしています。

この結果では、AWS 環境の EC2 インスタンスに DNS クエリを使用して送信データを転送するマルウェアがあることを知らせます。その結果としてデータが密かに抽出されます。EC2 インスタンスは侵害されている可能性があります。通常、DNS トラフィックはファイアウォールでブロックされません。たとえば、侵害された EC2 インスタンスのマルウェアは、データ (クレジットカード番号など) を DSN クエリ内にエンコードし、それを攻撃者が制御するリモート DNS サーバーに送信できます。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:IAMUser/TorIPCaller

結果の説明

API が Tor 出口ノードの IP アドレスから呼び出されました。

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

結果の説明

API がカスタム脅威リストにある IP アドレスから呼び出されました。

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が、アップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。GuardDuty の場合、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて結果を生成します。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

結果の説明

世界中でコンソールに対する複数の正常なログインが確認されました。

この結果では、世界各地から同時に同じ IAM ユーザーによるコンソールへの複数の正常なログインが確認されたことを知らせます。このような通常と異なる、リスクの高いアクセスロケーションパターンは、AWS リソースへの未承認のアクセスの可能性を示しています。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

結果の説明

API が既知の悪意のある IP アドレスから呼び出されました。

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が悪意のある既知の IP アドレスから呼び出されたことを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/UnusualISPCaller

結果の説明

API が通常とは異なる ISP の IP アドレスから呼び出されました。

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が通常とは異なる ISP の IP アドレスから呼び出されたことを知らせます。これは AWS の使用履歴全体で一度も確認されていない ISP です。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害された AWS 認証情報の修正」を参照してください。

UnauthorizedAccess:EC2/TorIPCaller

結果の説明

EC2 インスタンスが Tor ネットワーク上の IP アドレスと通信しています。

この結果では、AWS 環境の EC2 インスタンスが Tor ネットワーク上の IP アドレスと通信していることを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

結果の説明

EC2 インスタンスがカスタム脅威リスト内の IP アドレスとアウトバウンド通信しています。

この結果では、AWS 環境の EC2 インスタンスが、ユーザーがアップロードした脅威リストに含まれている IP アドレスと TCP プロトコルを使用してアウトバウンド通信していることを知らせます。GuardDuty の場合、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて結果を生成します。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/SSHBruteForce

結果の説明

EC2 インスタンスが SSH ブルートフォース攻撃に関与しています。

この結果では、AWS 環境の EC2 インスタンスが、Linux ベースのシステムで SSH サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/RDPBruteForce

結果の説明

EC2 インスタンスが RDP ブルートフォース攻撃に関与しています。

この結果では、AWS 環境の EC2 インスタンスが、Windows ベースのシステムで RDP サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。詳細については、「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

結果の説明

インスタンス起動ロールを通じて EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されています。

この結果では、AWS アカウントの EC2 インスタンスで作成された一時的な AWS 認証情報を使用して、EC2 外のホストから AWS API オペレーションを実行しようとしている試行について知らせます。EC2 インスタンスが侵害されていて、このインスタンスの一時的な認証情報が密かに AWS 外のリモートホストに抽出されている可能性があります。AWS は、一時的な認証情報を作成したエンティティ (AWS アプリケーション、EC2、Lambda など) 外にその認証情報を再配布することはお勧めしません。ただし、承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。攻撃の可能性を排除してアクティビティが正当であることを確認するには、これらの認証情報を割り当てる先の IAM ユーザーに問い合わせてみます。詳細については、「侵害された AWS 認証情報の修正」を参照してください。