GuardDutyEC2 の結果タイプ - Amazon GuardDuty

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

GuardDutyEC2 の結果タイプ

以下の結果は Amazon EC2 リソースに固有のものであり、リソースタイプは常に Instance です。 結果の重大度と詳細は、EC2 インスタンスが不審なアクティビティのターゲットであるか、アクティビティを実行するアクターであるかを示すリソースロールによって異なります。

注記

インスタンスがすでに終了している場合や、基盤となる API コールが、別のリージョンの EC2 インスタンスから発信されたクロスリージョン API コールの一部である場合、ec2 の結果でインスタンスの詳細が欠落していることがあります。

すべてのインスタンスタイプの結果について、問題のリソースを調べて正常に動作しているかどうかを確認することをお勧めします。アクティビティが許可されている場合、抑制ルールや信頼された IP リストを使用して、そのリソースの誤検出の通知を防ぐことができます。アクティビティが予期しないものである場合、セキュリティのベストプラクティスは、インスタンスが侵害されたと仮定し、「」で説明されているアクションを実行することです侵害されたEC2インスタンスの修復

バックドア:EC2/C&CActivity.B!DNS

EC2 インスタンスが既知のコマンドアンドコントロールサーバーに関連付けられているドメイン名をクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境内のリストされたインスタンスが既知のコマンドアンドコントロール (C&C) サーバーに関連付けられているドメイン名をクエリしていることを知らせます。リストされているインスタンスは侵害されている可能性があります。コマンドおよびコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、 、 サーバー、モバイルデバイス、および IoT デバイスなど、インターネットに接続されたデバイスのコレクションで、一般的なタイプのマルウェアに感染して制御されています。PCs通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

注記

でこの結果タイプを生成する方法をテストするには、インスタンスからテストドメインに対して DNS リクエスト (Linux dig または Windows nslookup で使用) guarddutyc2activityb.com を実行できます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Backdoor:EC2/DenialOfService.Dns

EC2 インスタンスが、DNS プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果では、AWS 環境内に一覧表示されている EC2 インスタンスで大量のアウトバウンド DNS トラフィックが生成されていることを知らせます。これは、リストされたインスタンスが侵害されており、DNS プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、DoSパブリックにルーティング可能な IP アドレスに対する攻撃のみ検出します。この IP アドレスは、DoS攻撃の主なターゲットです。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Backdoor:EC2/DenialOfService.Tcp

EC2 インスタンスが TCP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果では、AWS 環境内に一覧表示されている EC2 インスタンスで大量のアウトバウンド TCP トラフィックが生成されていることを知らせます。これは、インスタンスが侵害されており、TCP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、DoSパブリックにルーティング可能な IP アドレスに対するDoS攻撃のみ検出します。この IP アドレスは、攻撃の主なターゲットです。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Backdoor:EC2/DenialOfService.Udp

EC2 インスタンスが UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果では、AWS 環境内のリストされた EC2 インスタンスが大量のアウトバウンド UDP トラフィックを生成していることを知らせます。これは、リストされたインスタンスが侵害されており、UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、DoSパブリックにルーティング可能な IP アドレスに対するDoS攻撃のみ検出しています。この IP アドレスは、攻撃の主なターゲットです。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 インスタンスが、TCP ポートで UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果により、AWS 環境内のリストされた EC2 インスタンスが、TCP 通信に通常使用されるポートをターゲットとする大量のアウトバウンド UDP トラフィックを生成していることが通知されます。これは、リストされたインスタンスが侵害されており、TCP ポートで UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示している可能性があります。

注記

この結果では、DoSパブリックにルーティング可能な IP アドレスに対するDoS攻撃のみ検出します。この IP アドレスは、攻撃の主なターゲットです。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 インスタンスが、異常なプロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果では、AWS 環境の一覧表示された EC2 インスタンスで、異常なプロトコルタイプ (Internet Group Management Protocol など) から大量のアウトバウンドトラフィックが生成されていることを知らせます。これは、インスタンスが侵害されており、異常なプロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。この結果では、DoSパブリックにルーティング可能な IP アドレスに対するDoS攻撃のみ検出しています。この IP アドレスは、攻撃の主なターゲットです。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Backdoor:EC2/Spambot

EC2 インスタンスがポート 25 でリモートホストと通信して通常と異なる動作を示しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスがポート 25 でリモートホストと通信していることを知らせます。この EC2 インスタンスにはポート 25 での通信履歴が以前にないため、この動作は通常と異なります。従来、ポート 25 はメールサーバーで SMTP 通信のために使用されています。この結果は、EC2 インスタンスが侵害されており、スパムの送信に利用されている可能性があることを示しています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Behavior:EC2/NetworkPortUnusual

EC2 インスタンスが通常と異なるサーバーポートでリモートホストと通信しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の一覧表示されている EC2 インスタンスの動作が、確立されたベースラインから逸脱していることを知らせます。この EC2 インスタンスには、このリモートポートでの通信履歴がありません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Behavior:EC2/TrafficVolumeUnusual

EC2 インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の一覧表示されている EC2 インスタンスの動作が、確立されたベースラインから逸脱していることを知らせます。この EC2 インスタンスでは、このリモートホストに対してこれほど大量のトラフィックを送信した履歴がありません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

CryptoCurrency:EC2/BitcoinTool.B

EC2 インスタンスが暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境の一覧表示されている EC2 インスタンスで、ビットコインなどの暗号通貨関連のアクティビティに関連付けられている IP アドレスがクエリされていることが分かります。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。ビットコインは、ビットコインマイニングの報酬として使用されるほかに、他の通貨、製品、サービスと交換することができます。

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合や、このインスタンスがブロックチェーンのアクティビティに関係している場合、この結果は環境に対して予想されるアクティビティを表している可能性があります。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。最初の条件では、 値を持つ結果タイプの属性を使用する必要がありますCryptoCurrency:EC2/BitcoinTool.B!DNS。 2 番目のフィルタ条件は、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID です。抑制ルールの作成の詳細については、「抑制ルール」を参照してください。

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 インスタンスが暗号通貨関連のアクティビティに関連付けられているドメイン名をクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境の一覧表示されている EC2 インスタンスで、ビットコインやその他の暗号通貨関連のアクティビティに関連付けられているドメイン名がクエリされていることが分かります。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。ビットコインは、ビットコインマイニングの報酬として使用されるほかに、他の通貨、製品、サービスと交換することができます。

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合や、このインスタンスがブロックチェーンのアクティビティに関係している場合、この結果は環境に対して予想されるアクティビティを表している可能性があります。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。最初の条件では、 値を持つ Finding タイプ属性を使用する必要がありますCryptoCurrency:EC2/BitcoinTool.B!DNS。 2 番目のフィルタ条件は、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID です。抑制ルールの作成の詳細については、「抑制ルール」を参照してください。

影響: EC2/PortSweep

EC2 インスタンスが多数の IP アドレス上のポートを調査しています。

デフォルトの重要度: 高

この結果では、AWS 環境の一覧表示されている EC2 インスタンスで、多数のパブリックにルーティング可能な IP アドレスのポートを調査していることが分かります。通常、このタイプのアクティビティは、悪用する脆弱なホストを見つけるために使用されます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

影響: EC2/WinRMBruteForce

EC2 インスタンスが Windows Remote Management ブルートフォース攻撃を実行しています。

デフォルトの重要度: 高

この結果では、AWS 環境の一覧表示されている EC2 インスタンスで、Windows ベースのシステムで Windows Remote Management サービスにアクセスすることを目的とした Windows Remote Management (WinRM) ブルートフォース攻撃が実行されていることを知らせます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Recon:EC2/PortProbeEMRUnprotectedPort

EC2 インスタンスの保護されていない EMR 関連のポートを既知の悪意のあるホストが探しています。

デフォルトの重要度: 高

この結果では、AWS 環境の クラスターの一部である、リストされている EC2 インスタンス上の EMR 関連の機密性の高いポートが、セキュリティグループ、アクセスコントロールリスト (ACL)、または Linux IPTables などのホストのファイアウォールでブロックされていないこと、およびインターネットの既知のスキャナーがそれをアクティブに調査していることを知らせます。ポート 8088 (YARN ウェブ UI ポート) など、この結果をトリガーできるポートは、リモートコード実行に使用される可能性があります。

修正の推奨事項:

インターネットからクラスター上のポートへのオープンアクセスをブロックし、それらのポートへのアクセスを必要とする特定の IP アドレスのみにアクセスを制限する必要があります。詳細については、「Security Groups for EMR Clusters」を参照してください。

Recon:EC2/PortProbeUnprotectedPort

EC2 インスタンスの保護されていないポートを既知の悪意のあるホストが探しています。

デフォルトの重要度: 低*

注記

この結果のデフォルトの重大度は「低」です。ただし、調査対象のポートが (9200 または 9300) で使用されている場合、結果の重大度は「高」になります。

この結果では、AWS 環境の一覧表示された EC2 インスタンスに、セキュリティグループ、アクセスコントロールリスト (ACL)、または Linux IPTables などのホストのファイアウォールでブロックされていないポートがあり、これをインターネットの既知のスキャナーが巧みに見つけようとしていることを知らせます。

識別された保護されていないポートが 22 または 3389 であり、それらのポートを使用してインスタンスに接続している場合は、それらのポートへのアクセスを自社ネットワークの IP アドレス空間の IP アドレスのみに許可することで公開を制限することができます。Linux でポート 22 へのアクセスを制限するには、「Linux インスタンス用の受信トラフィックの認可」を参照してください。Windows でポート 3389 へのアクセスを制限するには、「Windows インスタンス用の受信トラフィックの認可」を参照してください。

修正の推奨事項:

インスタンスがウェブサーバーをホストしている場合など、インスタンスが意図的に公開されている場合があります。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。最初の条件では、 値を持つ Finding タイプ属性を使用する必要がありますRecon:EC2/PortProbeUnprotectedPort。 2 番目のフィルタ条件は、踏み台ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、インスタンスイメージ ID 属性またはタグ値属性のいずれかを使用できます。抑制ルールの作成の詳細については、「」を参照してください抑制ルール

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Recon:EC2/Portscan

EC2 インスタンスがリモートホストにアウトバウンドポートスキャンを実行しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の一覧表示されている EC2 インスタンスが短時間内に複数のポートに接続しようとしており、ポートスキャン攻撃を行っている可能性があることを知らせます。ポートスキャン攻撃の目的は、開いているポートを見つけ、マシンで実行されているサービスを発見してそのオペレーティングシステムを特定することです。

修正の推奨事項:

この結果は、お使いの環境の EC2 インスタンスに脆弱性評価アプリケーションがデプロイされていると誤検出される可能性があります。これらのアプリケーションは誤って設定されたオープンポートについてアラートを行うためにポートスキャンを実行するためです。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。最初の条件では、結果タイプの属性に 値を使用しますRecon:EC2/Portscan 2 番目のフィルタ条件は、これらの脆弱性評価ツールをホストする 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、インスタンスイメージ ID 属性またはタグ値属性のいずれかを使用できます。抑制ルールの作成の詳細については、「」を参照してください抑制ルール

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/BlackholeTraffic

EC2 インスタンスが既知のブラックホールであるリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の一覧表示されている EC2 インスタンスがブラックホール (またはシンクホール) の IP アドレスと通信しようとしているため、このインスタンスが侵害されている可能性があります。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所であり、目的の受取人にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/BlackholeTraffic!DNS

EC2 インスタンスがブラックホールの IP アドレスにリダイレクトされるドメイン名をクエリしています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスがブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため、侵害されている可能性があります。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所であり、目的の受取人にデータが届いていないことは送信元に知らされません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/DGADomainRequest.B

EC2 インスタンスがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスが侵害されている場合があります。

デフォルトの重要度: 高

この結果では、AWS 環境の一覧表示された EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます。EC2 インスタンスは侵害されている可能性があります。

DGAsは、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。コマンドおよびコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

注記

この結果は、高度なヒューリスティックを使用したドメイン名の分析に基づくため、脅威インテリジェンスフィードでは検出されない新しい DGA ドメインを識別する可能性があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/DGADomainRequest.C!DNS

EC2 インスタンスがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスが侵害されている場合があります。

デフォルトの重要度: 高

この結果では、AWS 環境の一覧表示された EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます。EC2 インスタンスは侵害されている可能性があります。

DGAsは、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。コマンドおよびコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

注記

この結果は、 の脅威インテリジェンスフィードで既知 DGA GuardDuty ドメインに基づいています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/DNSDataExfiltration

EC2 インスタンスが DNS クエリを使用してデータを密かに抽出しようとしています。

デフォルトの重要度: 高

この結果では、AWS 環境の一覧表示された EC2 インスタンスで、アウトバウンドデータ転送に DNS クエリを使用するマルウェアが実行されていることを知らせます。このタイプのデータ転送は、侵害されたインスタンスを示しており、データの不正引き出しにつながる可能性があります。通常、DNS トラフィックはファイアウォールでブロックされません。たとえば、侵害された EC2 インスタンスのマルウェアは、データ (クレジットカード番号など) を DNS クエリ内にエンコードし、それを攻撃者が制御するリモート DNS サーバーに送信できます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 インスタンスがドライブバイダウンロード攻撃の既知の攻撃元であるリモートホストのドメイン名をクエリしています。

デフォルトの重要度: ミディアム

この結果では、ドライブバイダウンロード攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため、AWS 環境の登録済み EC2 インスタンスが侵害されている可能性があることが分かります。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールをトリガーする場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/DropPoint

EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスが、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスと通信しようとしていることを知らせます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/DropPoint!DNS

EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名をクエリしています。

デフォルトの重要度: 高

この結果により、AWS 環境の EC2 インスタンスで、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名がクエリされていることが分かります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

Trojan:EC2/PhishingDomainRequest!DNS

EC2 インスタンスがフィッシング攻撃に関与しているドメインをクエリしています。EC2 インスタンスは侵害されている可能性があります。

デフォルトの重要度: 高

この結果は、AWS 環境の EC2 インスタンスがフィッシング攻撃に関与しているドメインをクエリしようとしていることを知らせます。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報とパスワードなど、ユーザーが機密データを提供するように呼び出すために、正当な機関になりすました人物によってセットアップされています。EC2 インスタンスがフィッシングウェブサイトに保管されている機密データを取得しようとしているか、フィッシングウェブサイトをセットアップしようとしている可能性があります。EC2 インスタンスは侵害されている可能性があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 インスタンスがカスタム脅威リスト内の IP アドレスに接続しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスが、ユーザーがアップロードした脅威リストに含まれている IP アドレスと通信していることを知らせます。GuardDuty の場合、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて結果を生成します。これは、AWS リソースへの未承認のアクセスを示している可能性があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 インスタンスが、インスタンスメタデータサービスに解決される DNS ルックアップを実行しています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスが、EC2 メタデータ IP アドレス (169.254.169.254) に解決されるドメインをクエリしていることを知らせます。この種類の DNS クエリは、インスタンスが DNS 再バインド方法のターゲットであることを示している可能性があります。この手法を使用して、インスタンスに関連付けられている IAM 認証情報を含むメタデータを EC2 インスタンスから取得できます。

DNS 再バインドでは、EC2 インスタンスで実行されているアプリケーションをトリックして URL から戻りデータをロードします。ここで、URL 内のドメイン名は EC2 メタデータ IP アドレス (169.254.169.254) に解決されます。これにより、アプリケーションは EC2 メタデータにアクセスし、攻撃者がそのメタデータを使用できるようにする可能性があります。

DNS 再バインドを使用して URLs EC2 メタデータにアクセスできるのは、EC2 インスタンスが の挿入を許可する脆弱なアプリケーションを実行している場合や、EC2 インスタンスで実行されているウェブブラウザで URL にアクセスする場合のみです。

修正の推奨事項:

この結果に応じて、EC2 インスタンスで実行されている脆弱なアプリケーションがあるか、結果で識別されたドメインにアクセスするためにブラウザを使用したかを評価する必要があります。根本的な原因が脆弱なアプリケーションである場合は、脆弱性を修正する必要があります。誰かが識別されたドメインを参照した場合は、ドメインをブロックするか、ユーザーがドメインにアクセスすることを禁止します。この結果が上記のいずれかのケースに関連していると判断した場合は、EC2 インスタンスに関連付けられたセッションを取り消す必要があります

一部の AWS のお客様は、メタデータ IP アドレスを権威 DNS サーバーのドメイン名に意図的にマッピングします。お使いの環境でこのような状況が発生した場合は、この結果に対する抑制ルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。最初の条件では、結果タイプの属性に 値を使用しますUnauthorizedAccess:EC2/MetaDataDNSRebind 2 つ目のフィルタ条件は DNS リクエストドメインで、値はメタデータ IP アドレス (169.254.169.254) にマッピングしたドメインと一致する必要があります。抑制ルールの作成の詳細については、「抑制ルール」を参照してください。

UnauthorizedAccess:EC2/RDPBruteForce

EC2 インスタンスが RDP ブルートフォース攻撃に関与しています。

デフォルトの重要度: 低*

注記

EC2 インスタンスがブルートフォース攻撃のターゲットである場合、この結果の重大度は「低」です。EC2 インスタンスがブルートフォース攻撃の実行に利用されているアクターである場合、この結果の重大度は「高」です。

この結果では、AWS 環境の EC2 インスタンスが、Windows ベースのシステムで RDP サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。

修正の推奨事項:

インスタンスのリソースロールACTOR である場合は、 インスタンスが RDP ブルートフォース攻撃の実行に利用されたことを示しています。このインスタンスに として示されている IP アドレスに連絡する合理的な理由がない限りは、インスタンスが侵害されたと仮定し、「」で説明されている対策をとることをお勧めしますTarget侵害されたEC2インスタンスの修復

インスタンスのリソースロールTARGET である場合、この結果はセキュリティグループ、 、ファイアウォールIPsのいずれかを介してのみ信頼されるように RDP ポートを保護することで修正できます。ACLs詳細については、「EC2 インスタンスをセキュリティで保護するためのヒント (Linux)」を参照してください

UnauthorizedAccess:EC2/SSHBruteForce

EC2 インスタンスが SSH ブルートフォース攻撃に関与しています。

デフォルトの重要度: 低*

注記

ブルートフォース攻撃が EC2 インスタンスのいずれかを標的にしている場合、この結果の重大度は「低」です。EC2 インスタンスがブルートフォース攻撃の実行に利用されている場合、この結果の重大度は「高」です。

この結果では、AWS 環境の EC2 インスタンスが、Linux ベースのシステムで SSH サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。

注記

この結果は、ポート 22 の モニタリングトラフィックでのみ生成されます。SSH サービスが他のポートを使用するように設定されている場合には、この結果は生成されません。

修正の推奨事項:

総当たりの試行のターゲットが踏み台ホストである場合、これはお使いの AWS 環境の正常な動作を示している可能性があります。このような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。最初の条件では、結果タイプの属性に 値を使用しますUnauthorizedAccess:EC2/SSHBruteForce 2 番目のフィルタ条件は、踏み台ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。これらのツールをホストするインスタンスで識別可能な条件に応じて、インスタンスイメージ ID 属性またはタグ値属性のいずれかを使用できます。抑制ルールの作成の詳細については、「」を参照してください抑制ルール

お使いの環境でこのアクティビティが期待されておらず、インスタンスのリソースロールTARGET である場合、この結果はセキュリティグループ、 IPs 、または ファイアウォールACLsを通して SSH ポートを信頼されたポートのみに制限して修復できます。詳細については、「EC2 インスタンスを保護するためのヒント (Linux)」を参照してください

インスタンスのリソースロールACTOR である場合は、インスタンスが SSH ブルートフォース攻撃の実行に利用されたことを示しています。このインスタンスに として示されている IP アドレスに連絡する合理的な理由がない限りは、インスタンスが侵害されたと仮定し、「」で説明されている対策をとることをお勧めしますTarget侵害されたEC2インスタンスの修復

UnauthorizedAccess:EC2/TorClient

EC2 インスタンスが Tor Guard または Authority ノードに接続しています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスが Tor Guard または Authority ノードに接続中であることが通知されます。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この EC2 インスタンスが侵害されており、Tor ネットワーク上のクライアントとして動作していることを示す場合があります。この結果は、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。

UnauthorizedAccess:EC2/TorRelay

EC2 インスタンスが Tor リレーとして Tor ネットワークに接続しています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスが Tor リレーとして動作していることを示す方法で、Tor ネットワークに接続中であることが通知されます。Tor は匿名通信を有効化するソフトウェアです。Tor は、クライアントの不正なトラフィックをある Tor リレーから別のものに転送することで、通信の匿名性を高めます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害されたEC2インスタンスの修復」を参照してください。