GuardDuty EC2 の検索タイプ - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty EC2 の検索タイプ

以下の結果は、Amazon EC2 リソースに固有のものであり、リソースタイプは常にInstance。結果の重大度と詳細は、EC2 インスタンスが不審なアクティビティのターゲットであるか、不審なアクティビティを実行するアクターであるかを示すリソースロールによって異なります。

注記

インスタンスがすでに終了している場合、または基になる API 呼び出しが別のリージョンの EC2 インスタンスから発生したクロスリージョン API 呼び出しの一部である場合、一部の EC2 結果でインスタンスの詳細が表示されないことがあります。

すべてのインスタンスタイプの結果について、問題のリソースを調べて正常に動作しているかどうかを確認することをお勧めします。アクティビティが許可されている場合は、抑制ルールや信頼できる IP リストを使用して、そのリソースに対する誤検出の通知を防ぐことができます。予期しないアクティビティについては、セキュリティのベストプラクティスとして、インスタンスが侵害されていると仮定し、侵害された EC2 インスタンスの修正

バックドア:EC2/C&CActivity.B

EC2 インスタンスは、既知のコマンドアンドコントロールサーバーに関連付けられている IP をクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境内のリストされているインスタンスが、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられている IP をクエリしていることを知らせます。リストされているインスタンスは侵害されている可能性があります。コマンドアンドコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、PC、サーバー、モバイルデバイス、IoT デバイスなど、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/C&CActivity.B!DNS

EC2 インスタンスは、既知のコマンドアンドコントロールサーバーに関連付けられるドメイン名をクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境内のリストされているインスタンスで、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられているドメインがクエリされていることが分かります。リストされているインスタンスは侵害されている可能性があります。コマンドアンドコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、PC、サーバー、モバイルデバイス、IoT デバイスなど、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

注記

でこの結果タイプを生成する方法をテストするには、インスタンスから DNS リクエスト (digLinux 用またはnslookupWindows 用) をテストドメインに対して実行するguarddutyc2activityb.com

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.Dns

EC2 インスタンスが、DNS プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果から、AWS 環境の EC2 インスタンスで大量のアウトバウンド DNS トラフィックを生成していることを知らせます。これは、リストされているインスタンスが侵害されており、DNS プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.Tcp

EC2 インスタンスが TCP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果から、AWS 環境の EC2 インスタンスで大量のアウトバウンド TCP トラフィックを生成していることを知らせます。これは、インスタンスが侵害されており、TCP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.Udp

EC2 インスタンスが UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果から、AWS 環境の EC2 インスタンスで大量のアウトバウンド UDP トラフィックを生成していることを知らせます。これは、リストされているインスタンスが侵害されており、UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 インスタンスが、TCP ポートで UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスで、TCP 通信に通常使用されるポートをターゲットとした大量のアウトバウンド UDP トラフィックを生成していることを知らせます。これは、リストされているインスタンスが侵害されており、TCP ポートで UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 インスタンスが、異常なプロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

この結果では、AWS 環境に表示されている EC2 インスタンスが、Internet Group Management Protocol など、EC2 インスタンスでは通常使用されていない異常なプロトコルタイプから大量のアウトバウンドトラフィックを生成していることを知らせます。これは、インスタンスが侵害されており、異常なプロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/Spambot

EC2 インスタンスは、ポート 25 でリモートホストと通信して通常と異なる動作を示しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスがポート 25 でリモートホストと通信していることを知らせます。この EC2 インスタンスにはポート 25 での通信履歴が以前にないため、この動作は通常と異なります。従来、ポート 25 はメールサーバーで SMTP 通信のために使用されています。この結果は、EC2 インスタンスが侵害されており、スパムの送信に利用されている可能性があることを示しています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Behavior:EC2/NetworkPortUnusual

EC2 インスタンスが通常と異なるサーバーポートでリモートホストと通信しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスの動作が、確立されたベースラインから逸脱していることを知らせます。この EC2 インスタンスには、このリモートポートでの通信履歴がありません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Behavior:EC2/TrafficVolumeUnusual

EC2 インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスの動作が、確立されたベースラインから逸脱していることを知らせます。この EC2 インスタンスでは、このリモートホストに対してこれほど大量のトラフィックを送信した履歴がありません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

CryptoCurrency:EC2/BitcoinTool.B

EC2 インスタンスが暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスで、ビットコイン、またはその他の暗号通貨関連のアクティビティに関連付けられている IP アドレスがクエリされていることが分かります。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。他の通貨、製品、サービスと交換することができます。Bitcoinはビットコインマイニングの報酬であり、脅威のアクターによって非常に求められています。

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合やこのインスタンスがブロックチェーンのアクティビティに関係している場合、この結果はお使いの環境の正常なアクティビティを示している可能性があります。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:EC2/BitcoinTool.B!DNS という値を使用します。2 つ目のフィルター条件では、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID を使用します。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 インスタンスが暗号通貨関連のアクティビティに関連付けられているドメイン名をクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスで、ビットコイン、またはその他の暗号通貨関連のアクティビティに関連付けられているドメインがクエリされていることが分かります。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。他の通貨、製品、サービスと交換することができます。Bitcoinはビットコインマイニングの報酬であり、脅威のアクターによって非常に求められています。

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合やこのインスタンスがブロックチェーンのアクティビティに関係している場合、この結果はお使いの環境の正常なアクティビティを示している可能性があります。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:EC2/BitcoinTool.B!DNS という値を使用します。2 つ目のフィルター条件では、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID を使用します。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

インパクト:EC2/abusedDomainRequest.レピュテーション

EC2 インスタンスは、既知の侵害されているドメインに関連付けられる低評価のドメイン名をクエリしています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の Amazon EC2 インスタンスで、悪用されている既知のドメインや IP アドレスに関連付けられている低評価のドメインがクエリされていることが分かります。悪用されたドメインの例としては、トップレベルドメイン名 (TLD) や第 2 レベルドメイン名 (2LD) が挙げられ、ダイナミック DNS プロバイダーと同様に無料のサブドメイン登録を提供します。脅威のアクターは、これらのサービスを使用してドメインを無料または低コストで登録する傾向があります。このカテゴリのレピュテーションの低いドメインは、レジストラのパーキング IP アドレスに解決される期限が切れたドメインであり、アクティブではなくなる可能性があります。パーキング IP は、レジストラがどのサービスにもリンクされていないドメインのトラフィックを誘導する場所です。脅威アクターがこれらのレジストラまたはサービスを C&C およびマルウェアの配布に一般的に使用しているため、リストされている Amazon EC2 インスタンスは侵害される可能性があります。

低レピュテーションのドメインは、GuardDuty が開発したレピュテーションスコアモデルに基づいています。このモデルでは、ドメインの特性を評価してランク付けし、悪意のあるドメインの可能性を判断します。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

インパクト:EC2/BitcoindomainRequest.レピュテーション

EC2 インスタンスは、暗号通貨関連のアクティビティに関連付けられている低評価のドメイン名をクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境の Amazon EC2 インスタンスで、ビットコイン、またはその他の暗号通貨関連のアクティビティに関連付けられている低評価のドメインがクエリされていることが分かります。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。他の通貨、製品、サービスと交換することができます。Bitcoinはビットコインマイニングの報酬であり、脅威のアクターによって非常に求められています。

低レピュテーションのドメインは、GuardDuty が開発したレピュテーションスコアモデルに基づいています。このモデルでは、ドメインの特性を評価してランク付けし、悪意のあるドメインの可能性を判断します。

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合やこのインスタンスがブロックチェーンのアクティビティに関係している場合、この結果はお使いの環境の正常なアクティビティを示している可能性があります。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に Impact:EC2/BitcoinDomainRequest.Reputation という値を使用します。2 つ目のフィルター条件では、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID を使用します。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

影響:EC2/悪意のあるドメイン要求.レピュテーション

EC2 インスタンスは、既知の悪意のあるドメインに関連付けられる低評価ドメインをクエリしています。

デフォルトの重要度: 高

この結果では、AWS 環境の Amazon EC2 インスタンスで、既知の悪意のあるドメインや IP アドレスに関連付けられている低評価のドメインがクエリされていることが分かります。たとえば、ドメインが既知のシンクホール IP アドレスに関連付けられている場合があります。シンクホールドメインは、以前に脅威アクターによって制御されていたドメインです。シンクホールドメインに対するリクエストは、インスタンスが侵害されたことを示している可能性があります。これらのドメインは、既知の悪意のあるキャンペーンやドメイン生成アルゴリズムと相関している可能性もあります。

低レピュテーションのドメインは、GuardDuty が開発したレピュテーションスコアモデルに基づいています。このモデルでは、ドメインの特性を評価してランク付けし、悪意のあるドメインの可能性を判断します。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

インパクト:EC2/ポートスイープ

EC2 インスタンスが多数の IP アドレスでポートをプローブしています。

デフォルトの重要度: 高

この結果から、AWS 環境の EC2 インスタンスのリストが、多数のパブリックにルーティング可能な IP アドレスでポートをプロービングしていることを知らせます。このタイプのアクティビティは、通常、悪用される脆弱なホストを見つけるために使用されます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

インパクト:EC2/SuspiciousDomainRequest.Reputation

EC2 インスタンスは、古さ、低評価のドメイン名をクエリしています。これは、低評価のドメイン名を古く、低評価のドメイン名をクエリしています。

デフォルトの重要度: 低

この結果では、AWS 環境の Amazon EC2 インスタンスで、悪意のあることが疑われる低評価のドメインがクエリされていることが分かります。GuardDuty は、以前に観察された悪意のあるドメインと一致しているこのドメインの特性に気づきました。しかし、当社のレピュテーションモデルは、それを既知の脅威に確実に関連付けることができませんでした。通常、これらのドメインは新しく監視されるか、または少量のトラフィックを受信します。

低レピュテーションのドメインは、GuardDuty が開発したレピュテーションスコアモデルに基づいています。このモデルでは、ドメインの特性を評価してランク付けし、悪意のあるドメインの可能性を判断します。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

インパクト:EC2/WinrmBruteForce

EC2 インスタンスがアウトバウンドの Windows リモート管理ブルートフォース攻撃を実行しています。

デフォルトの重要度: 低*

注記

EC2 インスタンスがブルートフォース攻撃のターゲットである場合、この結果の重要度は「低」です。EC2 インスタンスがブルートフォース攻撃の実行に利用されているアクターである場合、この結果の重要度は「高」です。

この結果では、AWS 環境に、Windows ベースのシステムで Windows リモート管理サービスにアクセスすることを目的とした Windows リモート管理 (WinRM) ブルートフォース攻撃を実行していることが分かります。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Recon:EC2/PortProbeEMRUnprotectedPort

EC2 インスタンスには保護されていない EMR 関連のポートを既知の悪意のあるホストが探しています。

デフォルトの重要度: 高

この結果では、AWS 環境内のクラスターに、セキュリティグループ、アクセスコントロールリスト (ACL)、または Linux IPTables などのホストのファイアウォールでブロックされていない EMR 関連の sensitive port ポートがあり、これをインターネットの既知のスキャナーが能動的に探していることを知らせます。。ポート 8088 (YARN Web UI ポート) など、この結果をトリガーできるポートは、リモートコード実行で使用される可能性があります。

推奨事項:

インターネットからクラスター上のポートへのオープンアクセスをブロックし、これらのポートへのアクセスを必要とする特定の IP アドレスにのみアクセスを制限する必要があります。詳細については、「Security Groups for EMR Clusters」を参照してください。

Recon:EC2/PortProbeUnprotectedPort

EC2 インスタンスの保護されていないポートを既知の悪意のあるホストが探しています。

デフォルトの重要度: 低*

注記

この結果のデフォルトの重大度は「低」です。ただし、調査対象のポートが (9200 または 9300) で使用されている場合、結果の重大度は「高」になります。

この結果では、AWS 環境のリストされている EC2 インスタンスに、セキュリティグループ、アクセスコントロールリスト (ACL)、または Linux IPTables などのホストのファイアウォールでブロックされていないポートがあり、これをインターネットの既知のスキャナーがこれをインターネットの既知のスキャナーが積極的に探していることを知らせます。

識別された保護されていないポートが 22 または 3389 であり、それらのポートを使用してインスタンスに接続している場合は、それらのポートへのアクセスを自社ネットワークの IP アドレス空間の IP アドレスのみに許可することで公開を制限することができます。Linux でポート 22 へのアクセスを制限するには、「Linux インスタンス用の受信トラフィックの認可」を参照してください。Windows でポート 3389 へのアクセスを制限するには、「Windows インスタンス用の受信トラフィックの認可」を参照してください。

推奨事項:

インスタンスがウェブサーバーをホストしている場合など、インスタンスが意図的に公開されている場合があります。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に Recon:EC2/PortProbeUnprotectedPort という値を使用します。2 番目のフィルタ条件は、踏み台ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。以下のいずれかを使用できます。インスタンスイメージ ID属性またはTagこれらのツールをホストするインスタンスで識別可能な条件に応じて、[ 抑制ルールの作成の詳細については、「」を参照してください。サプレッションルール

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Recon:EC2/Portscan

EC2 インスタンスがリモートホストにアウトバウンドポートスキャンを実行しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスが短時間内に複数のポートに接続しようとしており、ポートスキャン攻撃を行っている可能性があることを知らせます。ポートスキャン攻撃の目的は、開いているポートを見つけ、マシンで実行されているサービスを発見してそのオペレーティングシステムを特定することです。

推奨事項:

この結果は、お使いの環境の EC2 インスタンスに脆弱性評価アプリケーションがデプロイされており、それらのアプリケーションが誤って開かれているポートについてアラートを行うためにポートスキャンを実行する場合に誤検出される可能性があります。AWS 環境でこのような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に Recon:EC2/Portscan という値を使用します。2 番目のフィルタ条件は、これらの脆弱性評価ツールをホストする 1 つ以上のインスタンスと一致する必要があります。以下のいずれかを使用できます。インスタンスイメージ ID属性またはTagこれらのツールをホストするインスタンスで識別可能な条件に応じて、[ 抑制ルールの作成の詳細については、「」を参照してください。サプレッションルール

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/BlackholeTraffic

EC2 インスタンスが既知のブラックホールであるリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスがブラックホール (またはシンクホール) の IP アドレスと通信しようとしているため、このインスタンスが侵害されている可能性があることを知らせます。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所であり、目的の受取人にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/BlackholeTraffic!DNS

EC2 インスタンスがブラックホールの IP アドレスにリダイレクトされるドメイン名をクエリしています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスがブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため、侵害されている可能性があることを知らせます。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所であり、目的の受取人にデータが届いていないことは送信元に知らされません。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DGADomainRequest.B

EC2 インスタンスがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスが侵害されている場合があります。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます。EC2 インスタンスは侵害されている可能性があります。

DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。コマンドアンドコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

注記

この結果は、高度なヒューリスティックを使用したドメイン名の分析に基づいており、脅威インテリジェンスフィードでは検出されない新しい DGA ドメインを識別する場合があります。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DGADomainRequest.C!DNS

EC2 インスタンスがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスが侵害されている場合があります。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスがドメイン生成アルゴリズム (DGA) のドメインをクエリしようとしていることを知らせます。EC2 インスタンスは侵害されている可能性があります。

DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。コマンド&コントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

注記

この結果は、GuardDuty の脅威インテリジェンスのフィードの既知の DGA ドメインに基づいています。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DNSDataExfiltration

EC2 インスタンスが DNS クエリを使用してデータを密かに抽出しようとしています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスでアウトバウンドデータ転送に DNS クエリを使用するマルウェアが実行されていることが分かります。このタイプのデータ転送は、インスタンスが侵害されたことを示しており、データの漏洩につながる可能性があります。通常、DNS トラフィックはファイアウォールでブロックされません。たとえば、侵害された EC2 インスタンスのマルウェアは、データ (クレジットカード番号など) を DNS クエリ内にエンコードし、それを攻撃者が制御するリモート DNS サーバーに送信できます。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 インスタンスがドライブバイダウンロード攻撃の既知の攻撃元であるリモートホストのドメイン名をクエリしています。

デフォルトの重要度: ミディアム

この結果では、ドライブバイダウンロード攻撃の既知のソースであるリモートホストのドメイン名をクエリしているため、AWS 環境に表示されている EC2 インスタンスが侵害されている可能性があることが分かります。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールをトリガーする場合があります。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DropPoint

EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスが、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしていることが分かります。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DropPoint!DNS

EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名をクエリしています。

デフォルトの重要度: ミディアム

この結果により、AWS 環境の EC2 インスタンスで、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名がクエリされていることが分かります。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/PhishingDomainRequest!DNS

EC2 インスタンスがフィッシング攻撃に関与しているドメインをクエリしています。EC2 インスタンスは侵害されている可能性があります。

デフォルトの重要度: 高

この結果は、AWS 環境の EC2 インスタンスがフィッシング攻撃に関与しているドメインをクエリしようとしていることを知らせます。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報とパスワードなど、ユーザーが機密データを提供するように仕向ける、正当な機関になりすます人物によってセットアップされています。EC2 インスタンスがフィッシングウェブサイトに保管されている機密データを取得しようとしているか、フィッシングウェブサイトを設定しようとしている可能性があります。EC2 インスタンスは侵害されている可能性があります。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 インスタンスは、カスタム脅威リスト内の IP アドレスに接続しています。

デフォルトの重要度: ミディアム

この結果では、AWS 環境の EC2 インスタンスが、ユーザーがアップロードした脅威リストに含まれている IP アドレスと通信していることを知らせます。GuardDuty では、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて結果を生成します。この結果を生成するために使用された脅威リストは、結果の詳細に表示されます。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 インスタンスは、インスタンスメタデータサービスに解決される DNS ルックアップを実行しています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスが、EC2 メタデータ IP アドレス (169.254.169.254) に解決されるドメインをクエリしていることを知らせます。この種類の DNS クエリは、インスタンスが DNS 再バインド技術のターゲットであることを示している可能性があります。この手法を使用して、EC2 インスタンスからメタデータを取得できます。これには、インスタンスに関連付けられている IAM 認証情報が含まれます。

DNS 再バインドでは、EC2 インスタンスで実行されているアプリケーションをだまして URL から戻りデータをロードします。ここで、URL 内のドメインは EC2 メタデータ IP アドレス (169.254.169.254) に解決されます。これにより、アプリケーションは EC2 メタデータにアクセスし、攻撃者がそのメタデータを使用できるようにする可能性があります。

DNS 再バインドを使用して EC2 メタデータにアクセスできるのは、EC2 インスタンスが URL の挿入を許可する脆弱なアプリケーションを実行している場合や、EC2 インスタンスで実行されているウェブブラウザで URL にアクセスしている場合のみです。

推奨事項:

この結果に応じて、EC2 インスタンスで実行されている脆弱なアプリケーションがあるか、誰かがブラウザを使用して結果で識別されたドメインにアクセスしているかを評価する必要があります。根本的な原因が脆弱なアプリケーションである場合は、脆弱性を修正する必要があります。ユーザーが特定されたドメインを参照した場合は、ドメインをブロックするか、ユーザーがそのドメインにアクセスできないようにします。この結果が上記のいずれかのケースに関連していると判断した場合は、EC2 インスタンスに関連付けられたセッションを取り消す

一部の AWS のお客様は、メタデータ IP アドレスを権威 DNS サーバーのドメイン名に意図的にマッピングします。お使いの環境でこのような状況が発生した場合は、この結果に対する抑制ルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に UnauthorizedAccess:EC2/MetaDataDNSRebind という値を使用します。2 つ目のフィルター条件では、DNS リクエストのドメインを使用します。値はメタデータの IP アドレス (169.254.169.254) にマッピングしたドメインと一致する必要があります。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

UnauthorizedAccess:EC2/RDPBruteForce

EC2 インスタンスが RDP ブルートフォース攻撃に関与しています。

デフォルトの重要度: 低*

注記

EC2 インスタンスがブルートフォース攻撃のターゲットである場合、この結果の重要度は「低」です。EC2 インスタンスがブルートフォース攻撃の実行に利用されているアクターである場合、この結果の重要度は「高」です。

この結果では、AWS 環境の EC2 インスタンスが、Windows ベースのシステムで RDP サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。

推奨事項:

インスタンスのリソースロールACTORの場合、インスタンスが RDP ブルートフォース攻撃の実行に利用されたことを示しています。このインスタンスに、Targetの場合は、インスタンスが侵害されていると仮定し、「」で説明されている対策をとることをお勧めします。侵害された EC2 インスタンスの修正

インスタンスのリソースロールTARGETでは、セキュリティグループ、ACL、ファイアウォールのいずれかを使用して RDP ポートを信頼できる IP のみに制限して保護することでこの結果を修正できます。詳細については、「」を参照してください。EC2 インスタンスのセキュリティを確保するためのヒント (Linux)

UnauthorizedAccess:EC2/SSHBruteForce

EC2 インスタンスが SSH ブルートフォース攻撃に関与しています。

デフォルトの重要度: 低*

注記

ブルートフォース攻撃が EC2 インスタンスのいずれかを標的にしている場合、この結果の重大度は「低」です。EC2 インスタンスがブルートフォース攻撃の実行に利用されている場合、この結果の重大度は「高」です。

この結果では、AWS 環境の EC2 インスタンスが、Linux ベースのシステムで SSH サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していることを知らせます。これは、AWS リソースへの未承認のアクセスを示している可能性があります。

注記

この結果は、ポート 22 の モニタリングトラフィックでのみ生成されます。SSH サービスが他のポートを使用するように設定されている場合には、この結果は生成されません。

推奨事項:

総当たりの試行のターゲットが踏み台ホストである場合、これはお使いの AWS 環境の正常な動作を示している可能性があります。このような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に UnauthorizedAccess:EC2/SSHBruteForce という値を使用します。2 番目のフィルタ条件は、踏み台ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。以下のいずれかを使用できます。インスタンスイメージ ID属性またはTagこれらのツールをホストするインスタンスで識別可能な条件に応じて、[ 抑制ルールの作成の詳細については、「」を参照してください。サプレッションルール

このアクティビティがご使用の環境およびインスタンスのリソースロールTARGETでは、SSH ポートをセキュリティグループ、ACL、ファイアウォールのいずれかを使用して SSH ポートを信頼できる IP のみに制限して保護することでこの結果を修正できます。詳細については、「」を参照してください。EC2 インスタンスのセキュリティを確保するためのヒント (Linux)

インスタンスのリソースロールACTORの場合、インスタンスが SSH ブルートフォース攻撃の実行に利用されたことを示しています。このインスタンスに、Targetの場合は、インスタンスが侵害されていると仮定し、「」で説明されている対策をとることをお勧めします。侵害された EC2 インスタンスの修正

UnauthorizedAccess:EC2/TorClient

EC2 インスタンスが Tor Guard または Authority ノードに接続しています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスが Tor Guard または Authority ノードに接続中であることが通知されます。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この EC2 インスタンスが侵害されており、Tor ネットワーク上のクライアントとして動作していることを示しています。この結果では、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している可能性があります。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/TorRelay

EC2 インスタンスが Tor リレーとして Tor ネットワークに接続しています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスが Tor リレーとして動作していることを示す方法で、Tor ネットワークに接続中であることが通知されます。Tor は匿名通信を有効化するソフトウェアです。Tor は、クライアントの不正なトラフィックをある Tor リレーから別のものに転送することで、通信の匿名性を高めます。

推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。