GuardDuty EC2 - Amazon GuardDuty

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty EC2

以下の結果は、Amazon EC2 リソースに固有のものであり、リソースタイプは常にInstance。結果の重大度と詳細は、EC2 リソースが不審なアクティビティのターゲットであるか、不審なアクティビティを実行するアクターであるかを示すリソースロールによって異なります。

ここに示した結果には、その結果タイプの生成に使用されるデータソースとモデルが含まれます。データソースとモデルの詳細については、Amazon GuardDuty でデータソースを使用する方法を説明します。

注記

インスタンスがすでに終了している場合、または基になる API 呼び出しが別のリージョンの EC2 インスタンスから発生したクロスリージョン API 呼び出しの一部である場合、一部の EC2 結果でインスタンスの詳細が表示されないことがあります。

EC2 の結果については、問題のリソースを調べて正常に動作しているかどうかを確認することをお勧めします。許可されているアクティビティについては、抑制ルールや信頼できる IP リストを使用することにより、そのリソースに対する誤検出の通知を防ぐことができます。予期しないアクティビティについては、セキュリティのベストプラクティスとしてインスタンスが侵害されていると仮定し、「」で説明されている対策をとることをお勧めします。侵害された EC2 インスタンスの修正

Backdoor:EC2/C&CActivity.B

EC2 インスタンスが既知のコマンドアンドコントロールサーバーに関連付けられている IP をクエリしています。

デフォルトの重要度:高 高

  • データソース:高 VPC フローログ

この結果により、リストされたインスタンスがAWS環境が、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられている IP をクエリしています。リストされているインスタンスは侵害されている可能性があります。コマンドアンドコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットは、一般的なタイプのマルウェアに感染して制御されている PC、サーバー、モバイルデバイス、IoT デバイスなど、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/C&CActivity.B!DNS

EC2 インスタンスは、既知のコマンドアンドコントロールサーバーに関連付けられるドメイン名をクエリしています。

デフォルトの重要度:高 高

  • データソース:高 DNS ログ

この結果により、リストされたインスタンスがAWS環境は、既知のコマンドアンドコントロール (C&C) サーバーに関連付けられているドメイン名をクエリしています。リストされているインスタンスは侵害されている可能性があります。コマンドアンドコントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。

ボットネットは、一般的なタイプのマルウェアに感染して制御されている PC、サーバー、モバイルデバイス、IoT デバイスなど、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。通常、ボットネットは、マルウェアの配布や盗用された情報 (クレジットカード番号など) の収集に使用されます。ボットネットの目的と構造によっては、C&C サーバーから分散型サービス拒否 (DDoS) 攻撃を開始するためのコマンドが発行されることもあります。

注記

でこの結果タイプをで生成する方法をテストするには、インスタンスから DNS リクエスト (digLinux の Linux のまたはnslookupWindows 用) をテストドメインに対して実行するguarddutyc2activityb.com

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.Dns

EC2 インスタンスが、DNS プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度:高 高

  • データソース:高 VPC フローログ

この結果により、リストされた EC2 インスタンスがAWS環境が大量のアウトバウンド DNS トラフィックを生成しています。これは、リストされているインスタンスが侵害されており、DNS プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.Tcp

EC2 インスタンスが TCP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度:高 高

  • データソース:高 VPC フローログ

この結果により、リストされた EC2 インスタンスがAWS環境が大量のアウトバウンド TCP トラフィックを生成しています。これは、インスタンスが侵害されており、TCP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.Udp

EC2 インスタンスが UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

  • データソース:高 VPC フローログ

この結果により、リストされた EC2 インスタンスがAWS環境が大量のアウトバウンド UDP トラフィックを生成しています。これは、リストされているインスタンスが侵害されており、UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.UdpOnTcpPorts

EC2 インスタンスが、TCP ポートで UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度:高 高

  • データソース:高 VPC フローログ

この結果により、リストされた EC2 インスタンスがAWS環境は、TCP 通信に通常使用されるポートをターゲットとした大量のアウトバウンド UDP トラフィックを生成しています。これは、リストされているインスタンスが侵害されており、TCP ポートで UDP プロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。

注記

この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/DenialOfService.UnusualProtocol

EC2 インスタンスが、異常なプロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されている可能性があります。

デフォルトの重要度: 高

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境は、Internet Group Management Protocol など、EC2 インスタンスでは通常使用されない異常なプロトコルタイプから大量のアウトバウンドトラフィックを生成しています。これは、インスタンスが侵害されており、異常なプロトコルを使用したサービス拒否 (DoS) 攻撃の実行に利用されていることを示しています。この結果では、パブリックにルーティング可能な IP アドレスに対する DoS 攻撃のみ検出しています。このような IP アドレスは、DoS 攻撃の主なターゲットとなっています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Backdoor:EC2/Spambot

EC2 インスタンスがポート 25 でリモートホストと通信して通常と異なる動作を示しています。

デフォルトの重要度: ミディアム

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境がポート 25 でリモートホストと通信しています。この EC2 インスタンスにはポート 25 での通信履歴が以前にないため、この動作は通常と異なります。従来、ポート 25 はメールサーバーで SMTP 通信のために使用されています。この結果は、EC2 インスタンスが侵害されており、スパムの送信に利用されている可能性があることを示しています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Behavior:EC2/NetworkPortUnusual

EC2 インスタンスが通常と異なるサーバーポートでリモートホストと通信しています。

デフォルトの重要度: ミディアム

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境が、確立されたベースラインから逸脱して動作しています。この EC2 インスタンスには、このリモートポートでの通信履歴がありません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Behavior:EC2/TrafficVolumeUnusual

EC2 インスタンスがリモートホストに対して通常と異なる大量のネットワークトラフィックを生成しています。

デフォルトの重要度: ミディアム

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境が、確立されたベースラインから逸脱して動作しています。この EC2 インスタンスでは、このリモートホストに対してこれほど大量のトラフィックを送信した履歴がありません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

CryptoCurrency:EC2/BitcoinTool.B

EC2 インスタンスが暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。

デフォルトの重要度: 高

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境は、ビットコインやその他の暗号通貨関連のアクティビティに関連付けられている IP アドレスをクエリしています。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。他の通貨、製品、サービスと交換することができます。Bitcoinはビットコインマイニングの報酬であり、脅威のアクターによって非常に求められています。

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合やこのインスタンスがブロックチェーンのアクティビティに関係している場合、この結果はお使いの環境のアクティビティであると予想される可能性があります。これがあなたのAWS環境では、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:EC2/BitcoinTool.B という値を使用します。2 つ目のフィルター条件では、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID を使用します。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

CryptoCurrency:EC2/BitcoinTool.B!DNS

EC2 インスタンスが暗号通貨関連のアクティビティに関連付けられているドメイン名をクエリしています。

デフォルトの重要度: 高

  • データソース:高 DNS ログ

この結果では、EC2 インスタンスがAWS環境は、ビットコインやその他の暗号通貨関連のアクティビティに関連付けられているドメイン名をクエリしています。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。他の通貨、製品、サービスと交換することができます。Bitcoinはビットコインマイニングの報酬であり、脅威のアクターによって非常に求められています。

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合やこのインスタンスがブロックチェーンのアクティビティに関係している場合、この結果はお使いの環境のアクティビティであると予想される可能性があります。これがあなたのAWS環境では、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に CryptoCurrency:EC2/BitcoinTool.B!DNS という値を使用します。2 つ目のフィルター条件では、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID を使用します。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Impact:EC2/AbusedDomainRequest.Reputation

EC2 インスタンスは、侵害されている既知のドメインに関連付けられている低評価ドメイン名をクエリしています。

デフォルトの重要度: ミディアム

  • データソース:高 DNS ログ

この結果により、リストされている Amazon EC2 インスタンスがAWS環境が、既知の悪用済みドメインまたは IP アドレスに関連付けられた低評価ドメイン名を照会しています。悪用されたドメインの例としては、トップレベルドメイン名 (TLD) や第 2 レベルドメイン名 (2LD) が挙げられ、ダイナミック DNS プロバイダーと同様に無料のサブドメイン登録を提供します。脅威のアクターは、これらのサービスを使用してドメインを無料または低コストで登録する傾向があります。このカテゴリのレピュテーションの低いドメインは、レジストラのパーキング IP アドレスに解決される期限が切れたドメインであり、アクティブではなくなる可能性があります。パーキング IP は、レジストラがどのサービスにもリンクされていないドメインのトラフィックを誘導する場所です。脅威アクターがこれらのレジストラまたはサービスを C&C およびマルウェアの配布に一般的に使用しているため、リストされている Amazon EC2 インスタンスは侵害される可能性があります。

低レピュテーションドメインは、によって開発されたレピュテーションスコアモデルに基づいています。このモデルでは、ドメインの特性を評価し、ランク付けして、そのドメインが悪質である可能性を判断します。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Impact:EC2/BitcoinDomainRequest.Reputation

EC2 インスタンスは、暗号通貨関連のアクティビティに関連付けられている低評価ドメイン名をクエリしています。

デフォルトの重要度: 高

  • データソース:高 DNS ログ

この結果により、リストされている Amazon EC2 インスタンスがAWS環境は、ビットコインやその他の暗号通貨関連のアクティビティに関連付けられている低評価ドメイン名をクエリしています。ビットコインは、国際的な暗号通貨およびデジタル決済システムです。他の通貨、製品、サービスと交換することができます。Bitcoinはビットコインマイニングの報酬であり、脅威のアクターによって非常に求められています。

低レピュテーションドメインは、によって開発されたレピュテーションスコアモデルに基づいています。このモデルでは、ドメインの特性を評価し、ランク付けして、そのドメインが悪質である可能性を判断します。

修正の推奨事項:

この EC2 インスタンスを使用して暗号通貨のマイニングや管理を行う場合やこのインスタンスがブロックチェーンのアクティビティに関係している場合、この結果はお使いの環境の正常なアクティビティを示している可能性があります。これがあなたのAWS環境では、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に Impact:EC2/BitcoinDomainRequest.Reputation という値を使用します。2 つ目のフィルター条件では、ブロックチェーンのアクティビティに関係するインスタンスのインスタンス ID を使用します。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Impact:EC2/MaliciousDomainRequest.Reputation

EC2 インスタンスは、既知の悪意のあるドメインに関連付けられている低評価ドメインをクエリしています。

デフォルトの重要度: 高

  • データソース:高 DNS ログ

この結果により、リストされている Amazon EC2 インスタンスがAWS環境が、既知の悪質なドメインまたは IP アドレスに関連付けられた低評価ドメイン名を照会しています。たとえば、ドメインが既知のシンクホール IP アドレスに関連付けられている場合があります。シンクホールドメインは、以前に脅威アクターによって制御されていたドメインです。シンクホールドメインに対するリクエストは、インスタンスが侵害されたことを示している可能性があります。これらのドメインは、既知の悪意のあるキャンペーンやドメイン生成アルゴリズムと相関している可能性もあります。

低レピュテーションドメインは、によって開発されたレピュテーションスコアモデルに基づいています。このモデルでは、ドメインの特性を評価し、ランク付けして、そのドメインが悪質である可能性を判断します。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Impact:EC2/PortSweep

EC2 インスタンスが多数の IP アドレスでポートをプローブしています。

デフォルトの重要度: 高

  • データソース:高 VPC フローログ

この結果により、リストされた EC2 インスタンスがAWS環境は、パブリックにルーティング可能な多数の IP アドレスでポートをプローブしています。このタイプのアクティビティは、通常、悪用される脆弱なホストを見つけるために使用されます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Impact:EC2/SuspiciousDomainRequest.Reputation

EC2 インスタンスは、低評価ドメイン名をクエリしています。これは、年齢や低人気さのために本質的に疑わしいものです。

デフォルトの重要度: 低

  • データソース:高 DNS ログ

この結果により、リストされている Amazon EC2 インスタンスがAWS環境は、悪意がある疑いのある低評価ドメイン名を照会しています。このドメインの特性が以前に観察された悪質なドメインと一致していることに気付きましたが、当社のレピュテーションモデルはそれを既知の脅威に確実に関連づけることができませんでした。通常、これらのドメインは新しく監視されるか、または少量のトラフィックを受信します。

低レピュテーションドメインは、によって開発されたレピュテーションスコアモデルに基づいています。このモデルでは、ドメインの特性を評価し、ランク付けして、そのドメインが悪質である可能性を判断します。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Impact:EC2/WinRMBruteForce

EC2 インスタンスがアウトバウンド Windows リモート管理ブルートフォース攻撃を実行しています。

デフォルトの重要度: 低*

注記

EC2 インスタンスがブルートフォース攻撃のターゲットである場合、この結果の重大度は「低」です。EC2 インスタンスがブルートフォース攻撃の実行に利用されているアクターである場合、この結果の重要度は「高」です。

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境は、Windows ベースのシステム上の Windows リモート管理サービスへのアクセスを取得することを目的とした Windows リモート管理 (WinRM) ブルートフォース攻撃を実行しています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Recon:EC2/PortProbeEMRUnprotectedPort

EC2 インスタンスに、既知の悪意のあるホストが探している保護されていない EMR 関連のポートがあります。

デフォルトの重要度: 高

  • データソース:高 VPC フローログ

この結果では、EMR 関連のセンシティブなポートが、AWS環境は、セキュリティグループ、アクセスコントロールリスト (ACL)、Linux IPTables などのホストのファイアウォールでブロックされておらず、これをインターネットの既知のスキャナーが巧みに見つけようとしていることを知らせます。ポート 8088 (YARN Web UI ポート) など、この結果をトリガーできるポートは、リモートコード実行に利用される可能性があります。

修正の推奨事項:

インターネットからクラスター上のポートへのオープンアクセスをブロックし、これらのポートへのアクセスを必要とする特定の IP アドレスにのみアクセスを制限する必要があります。詳細については、「Security Groups for EMR Clusters」を参照してください。

Recon:EC2/PortProbeUnprotectedPort

EC2 インスタンスの保護されていないポートを既知の悪意のあるホストが探しています。

デフォルトの重要度:高 低*

注記

このデフォルトの重要度は「低」です。ただし、調査対象のポートが (9200 または 9300) で使用されている場合、結果の重大度は「高」になります。

  • データソース:高 VPC フローログ

この結果では、リストされている EC2 インスタンスのポートがAWS環境は、セキュリティグループ、アクセス制御リスト (ACL)、Linux IPTables などのホストのファイアウォールでブロックされておらず、これをインターネットの既知のスキャナーが巧みに見つけようとしていることを認識しているスキャナーが巧みに見つけようとしていることを知らせます。

識別された保護されていないポートが 22 または 3389 であり、それらのポートを使用してインスタンスに接続している場合は、それらのポートへのアクセスを自社ネットワークの IP アドレス空間の IP アドレスのみに許可することで公開を制限することができます。Linux でポート 22 へのアクセスを制限するには、「Linux インスタンス用の受信トラフィックの認可」を参照してください。Windows でポート 3389 へのアクセスを制限するには、「Windows インスタンス用の受信トラフィックの認可」を参照してください。

修正の推奨事項:

インスタンスがウェブサーバーをホストしている場合など、インスタンスが意図的に公開されている場合があります。これがあなたのAWS環境では、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に Recon:EC2/PortProbeUnprotectedPort という値を使用します。2 番目のフィルタ条件は、踏み台ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。以下のいずれかを使用できます。インスタンスイメージ ID属性またはのタグ付け値属性で識別可能な条件に応じて、これらのツールをホストするインスタンスで識別可能な条件に応じて異なります。抑制ルールの作成の詳細については、「」を参照してください。サプレッションルール

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Recon:EC2/Portscan

EC2 インスタンスがリモートホストにアウトバウンドポートスキャンを実行しています。

デフォルトの重要度:高 ミディアム

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境は、短時間内に複数のポートに接続しようとしており、ポートスキャン攻撃を行っている可能性があります。ポートスキャン攻撃の目的は、開いているポートを見つけ、マシンで実行されているサービスを発見してそのオペレーティングシステムを特定することです。

修正の推奨事項:

この結果は、お使いの環境の EC2 インスタンスに脆弱性評価アプリケーションがデプロイされており、それらのアプリケーションが誤って開かれているポートについてアラートを行うためにポートスキャンを実行する場合に誤検出される可能性があります。これがあなたのAWS環境では、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に Recon:EC2/Portscan という値を使用します。2 番目のフィルタ条件は、これらの脆弱性評価ツールをホストする 1 つ以上のインスタンスと一致する必要があります。以下のいずれかを使用できます。インスタンスイメージ ID属性またはのタグ付け値属性は、これらのツールをホストするインスタンスで識別可能な条件に応じて異なります。抑制ルールの作成の詳細については、「」を参照してください。サプレッションルール

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/BlackholeTraffic

EC2 インスタンスが既知のブラックホールであるリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度:高 ミディアム

  • データソース:高 VPC フローログ

この結果により、リストされた EC2 インスタンスがAWS環境は、ブラックホール (またはシンクホール) の IP アドレスと通信しようとしており、侵害されている可能性があります。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所であり、目的の受取人にデータが届いていないことは送信元に知らされません。ブラックホール IP アドレスは、稼働していないホストマシンやホストが割り当てられていないアドレスを指定します。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/BlackholeTraffic!DNS

EC2 インスタンスがブラックホールの IP アドレスにリダイレクトされるドメイン名をクエリしています。

デフォルトの重要度:高 ミディアム

  • データソース:高 DNS ログ

この結果により、リストされた EC2 インスタンスがAWS環境は、ブラックホール IP アドレスにリダイレクトされるドメイン名をクエリしているため、侵害されている可能性があります。ブラックホールは、送受信トラフィックが密かに破棄されるネットワークの場所であり、目的の受取人にデータが届いていないことは送信元に知らされません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DGADomainRequest.B

EC2 インスタンスがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスが侵害されている場合があります。

デフォルトの重要度:高 高

  • データソース:高 DNS ログ

この結果では、EC2 インスタンスがAWS環境がドメイン生成アルゴリズム (DGA) ドメインを照会しようとしています。EC2 インスタンスは侵害されている可能性があります。

DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。コマンド&コントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

注記

この結果は、高度なヒューリスティックを使用したドメイン名の分析に基づいており、脅威インテリジェンスフィードには存在しない新しい DGA ドメインを特定する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DGADomainRequest.C!DNS

EC2 インスタンスがアルゴリズムを使用して生成されたドメインをクエリしています。このようなドメインは、マルウェアによって悪用されることが多く、EC2 インスタンスが侵害されている場合があります。

デフォルトの重要度:高 高

  • データソース:高 DNS ログ

この結果では、EC2 インスタンスがAWS環境がドメイン生成アルゴリズム (DGA) ドメインを照会しようとしています。EC2 インスタンスは侵害されている可能性があります。

DGA は、大量のドメイン名を定期的に生成してコマンドアンドコントロール (C&C) サーバーとのランデブーポイントとするために使用されます。コマンド&コントロールサーバーは、ボットネットのメンバーにコマンドを発行するコンピュータです。ボットネットは、一般的なタイプのマルウェアに感染して制御されている、インターネットに接続されたデバイス (PC、サーバー、モバイルデバイス、IoT デバイスなど) のコレクションです。ランデブーポイントの候補数が多いと、感染されたコンピュータは毎日これらのドメイン名の一部にアクセスしてアップデートやコマンドを受け取ろうとするため、ボットネットを効果的にシャットダウンすることが困難となります。

注記

この結果では、GuardDuty の脅威インテリジェンスのフィードの既知のDGA ドメインに基づいています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DNSDataExfiltration

EC2 インスタンスが DNS クエリを使用してデータを密かに抽出しようとしています。

デフォルトの重要度:高 高

  • データソース:高 DNS ログ

この結果では、EC2 インスタンスがAWS環境では、DNS クエリを使用して送信データを転送するマルウェアが実行されています。このタイプのデータ転送は、インスタンスが侵害されたことを示しており、データの漏洩につながる可能性があります。通常、DNS トラフィックはファイアウォールでブロックされません。たとえば、侵害された EC2 インスタンスのマルウェアは、データ (クレジットカード番号など) を DNS クエリ内にエンコードし、それを攻撃者が制御するリモート DNS サーバーに送信できます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DriveBySourceTraffic!DNS

EC2 インスタンスがドライブバイダウンロード攻撃の既知の攻撃元であるリモートホストのドメイン名をクエリしています。

デフォルトの重要度:高 高

  • データソース:高 DNS ログ

この結果では、EC2 インスタンスがAWS環境は、ドライブバイダウンロード攻撃の既知の攻撃元であるリモートホストのドメイン名をクエリしているため、侵害されている可能性があります。これらは、インターネットから意図せずにダウンロードされるコンピュータソフトウェアであり、ウイルス、スパイウェア、マルウェアの自動インストールをトリガーする場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DropPoint

EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしています。

デフォルトの重要度:高 ミディアム

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境は、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストの IP アドレスに通信しようとしています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/DropPoint!DNS

EC2 インスタンスは、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名をクエリしています。

デフォルトの重要度:高 ミディアム

  • データソース:高 DNS ログ

この結果では、EC2 インスタンスがAWS環境は、マルウェアによって収集された認証情報やその他の盗難されたデータによって認識されているリモートホストのドメイン名をクエリしています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

Trojan:EC2/PhishingDomainRequest!DNS

EC2 インスタンスがフィッシング攻撃に関与しているドメインをクエリしています。EC2 インスタンスは侵害されている可能性があります。

デフォルトの重要度:高 高

  • データソース:高 DNS ログ

この結果では、EC2 インスタンスがAWS環境で、フィッシング攻撃に関与しているドメインをクエリしようとしています。フィッシングドメインは、個人を特定できる情報、銀行やクレジットカードの詳細情報、パスワードなど、個人を特定できるデータを提供するように仕向ける、正当な機関になりすました人物によってセットアップされています。EC2 インスタンスがフィッシングウェブサイトに保存されている機密データを取得しようとしているか、フィッシングウェブサイトをセットアップしようとしている可能性があります。EC2 インスタンスは侵害されている可能性があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/MaliciousIPCaller.Custom

EC2 インスタンスがカスタム脅威リスト内の IP アドレスに接続しています。

デフォルトの重要度:高 ミディアム

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境が、アップロード済みの脅威リストに含まれている IP アドレスと通信しています。GuardDuty では、脅威リストは既知の悪意のある IP アドレスで構成されます。GuardDuty では、アップロード済みの脅威リストに基づいて結果を生成します。この結果を生成するために使用された脅威リストは、結果の詳細に表示されます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/MetadataDNSRebind

EC2 インスタンスが、インスタンスメタデータサービスに解決される DNS ルックアップを実行しています。

デフォルトの重要度:高 高

  • データソース:高 DNS ログ

この結果では、EC2 インスタンスがAWS環境が、EC2 メタデータ IP アドレス (169.254.169.254) に解決されるドメインをクエリしています。この種類の DNS クエリは、インスタンスが DNS 再バインド技術のターゲットであることを示している可能性があります。この手法を使用して、EC2 インスタンスからメタデータを取得できます。これには、インスタンスに関連付けられている IAM 認証情報が含まれます。

DNS 再バインドでは、EC2 インスタンスで実行されているアプリケーションをだまして URL から戻りデータをロードします。ここで、URL 内のドメイン名が EC2 メタデータ IP アドレス (169.254.169.254) に解決されます。これにより、アプリケーションは EC2 メタデータにアクセスし、攻撃者がそのメタデータを使用できるようにする可能性があります。

DNS 再バインドを使用して EC2 メタデータにアクセスできるのは、EC2 インスタンスが URL の挿入を許可する脆弱なアプリケーションを実行している場合や、EC2 インスタンスで実行されているウェブブラウザで URL にアクセスする場合のみです。

修正の推奨事項:

この結果に応じて、EC2 インスタンスで実行されている脆弱なアプリケーションがあるか、誰かがブラウザを使用して結果で識別されたドメインにアクセスしているかを評価する必要があります。根本的な原因が脆弱なアプリケーションである場合は、脆弱性を修正する必要があります。誰かが識別されたドメインを参照した場合は、ドメインをブロックするか、ユーザーがそのドメインにアクセスできないようにします。この結果が、上記のいずれかのケースに関連していると判断した場合は、EC2 インスタンスに関連付けられたセッションを取り消す

ある程度AWSお客様は、メタデータ IP アドレスを権威 DNS サーバー上のドメイン名に意図的にマッピングします。お使いの環境でこのような状況が発生した場合は、この結果に対する抑制ルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に UnauthorizedAccess:EC2/MetaDataDNSRebind という値を使用します。2 つ目のフィルター条件では、DNS リクエストのドメインを使用します。値はメタデータの IP アドレス (169.254.169.254) にマッピングしたドメインと一致する必要があります。抑制ルールの作成の詳細については、「サプレッションルール」を参照してください。

UnauthorizedAccess:EC2/RDPBruteForce

EC2 インスタンスが RDP ブルートフォース攻撃に関与しています。

デフォルトの重要度:高 低*

注記

EC2 インスタンスがブルートフォース攻撃のターゲットである場合、この結果の重大度は「低」です。EC2 インスタンスがブルートフォース攻撃の実行に利用されているアクターである場合、この結果の重要度は「高」です。

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境は、Windows ベースのシステムで RDP サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していました。これは、あなたのへの未承認のアクセスを示している可能性がありますAWSリソースの使用料金を見積もることができます。

修正の推奨事項:

インスタンスのリソースロールACTORの場合、インスタンスが RDP ブルートフォース攻撃の実行に使用されたことを示します。このインスタンスに、「」で説明されている IP アドレスと通信する正当な理由がない限りは、Target場合は、インスタンスが侵害されたと仮定し、「」で説明されている対策をとることをお勧めします。侵害された EC2 インスタンスの修正

インスタンスのリソースロールTARGETでは、セキュリティグループ、ACL、ファイアウォールのいずれかを使用して RDP ポートを信頼できる IP のみに制限して保護することでこの結果を修正できます。詳細については、「」を参照してください。EC2 インスタンスのセキュリティを確保するためのヒント (Linux)

UnauthorizedAccess:EC2/SSHBruteForce

EC2 インスタンスが SSH ブルートフォース攻撃に関与しています。

デフォルトの重要度:高 低*

注記

ブルートフォース攻撃が EC2 インスタンスのいずれかを標的にしている場合、この結果の重大度は「低」です。EC2 インスタンスがブルートフォース攻撃の実行に利用されている場合、この結果の重要度は「高」です。

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境は、Linux ベースのシステムで SSH サービスへのパスワードを取得することを目的としたブルートフォース攻撃に関与していました。これは、AWSリソースの使用料金を見積もることができます。

注記

この結果は、ポート 22 の モニタリングトラフィックでのみ生成されます。SSH サービスが他のポートを使用するように設定されている場合には、この結果は生成されません。

修正の推奨事項:

ブルートフォース試行のターゲットが踏み台ホストである場合、これはAWS環境。このような状況が発生した場合は、この結果に対するサプレッションルールを設定することをお勧めします。サプレッションルールは、2 つのフィルタ条件で構成する必要があります。1 つ目の条件では、[結果タイプ] 属性に UnauthorizedAccess:EC2/SSHBruteForce という値を使用します。2 番目のフィルタ条件は、踏み台ホストとして機能する 1 つ以上のインスタンスと一致する必要があります。以下のいずれかを使用できます。インスタンスイメージ ID属性またはのタグ付け値属性は、これらのツールをホストするインスタンスで識別可能な条件に応じて異なります。抑制ルールの作成の詳細については、「」を参照してください。サプレッションルール

このアクティビティがご使用の環境およびインスタンスのリソースロールTARGETでは、セキュリティグループ、ACL、ファイアウォールのいずれかを使用して SSH ポートを信頼できる IP のみに制限して保護することでこの結果を修正できます。詳細については、「」を参照してください。EC2 インスタンスのセキュリティを確保するためのヒント (Linux)

インスタンスのリソースロールACTORの場合、これは、インスタンスが SSH ブルートフォース攻撃の実行に使用されたことを示します。このインスタンスに、「」で説明されている IP アドレスと通信する正当な理由がない限りは、Target場合は、インスタンスが侵害されたと仮定し、「」で説明されている対策をとることをお勧めします。侵害された EC2 インスタンスの修正

UnauthorizedAccess:EC2/TorClient

EC2 インスタンスが Tor Guard または Authority ノードに接続しています。

デフォルトの重要度:高 高

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境が Tor Guard または Authority ノードに接続しています。Tor は匿名通信を有効化するソフトウェアです。Tor Guards および Authority ノードは、Tor ネットワークへの初期ゲートウェイとして動作します。このトラフィックは、この EC2 インスタンスが侵害されており、Tor ネットワーク上のクライアントとして動作していることを示しています。この結果では、AWSリソースを、攻撃者が真のアイデンティティを隠して、

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。

UnauthorizedAccess:EC2/TorRelay

EC2 インスタンスが Tor リレーとして Tor ネットワークに接続しています。

デフォルトの重要度:高 高

  • データソース:高 VPC フローログ

この結果では、EC2 インスタンスがAWS環境は、Tor リレーとして機能していることを示す方法で、Tor ネットワークに接続中であることが示されています。Tor は匿名通信を有効化するソフトウェアです。Tor は、クライアントの不正なトラフィックをある Tor リレーから別のものに転送することで、通信の匿名性を高めます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、インスタンスが侵害されている可能性があります。「侵害された EC2 インスタンスの修正」を参照してください。