GuardDutyIAM の結果タイプ - Amazon GuardDuty

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

GuardDutyIAM の結果タイプ

次の結果は、IAM エンティティとアクセスキーに固有のものであり、リソースタイプは常に AccessKey です。 結果の重大度と詳細は、結果タイプによって異なります。

すべての IAM 関連の結果について、問題のエンティティに対するアクセス許可を調べ、このエンティティが最小権限のベストプラクティスに従っていることを確認することをお勧めします。アクティビティが予期しないものである場合、認証情報が侵害されている可能性があります。「」で説明している アクションを参照してください侵害されたAWS認証情報の修復

PenTest:IAMUser/KaliLinux

API が Kali Linux EC2 マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、Kali Linux が実行されているマシンで環境の一覧表示された AWS アカウントに属する認証情報を使用して API コールが行われていることを知らせます。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

PenTest:IAMUser/ParrotLinux

API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、Parrot Security Linux が実行されているマシンで環境の一覧表示されている AWS アカウントの認証情報を使用して API コールが行われていることを知らせます。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

PenTest:IAMUser/PentooLinux

API が Pentoo Linux マシンから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、Pentoo Linux が実行されているマシンで環境の一覧表示されている AWS アカウントの認証情報を使用して API コールが行われていることを知らせます。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。攻撃者もこのツールを使用して EC2 の設定の脆弱性を見つけて、AWS 環境へのアクセス権を不正に取得する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Persistence:IAMUser/NetworkPermissions

IAM エンティティが、通常 AWS アカウントACLsのセキュリティグループ、ルート、および のネットワークアクセス許可を変更するために使用される API を呼び出した。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、AWS 環境の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この結果は、プリンシパルが API を履歴なく呼び出す場合など、ネットワーク構成設定が不審な状況下で変更された場合にトリガーされます。CreateSecurityGroup通常、攻撃者はセキュリティグループを変更してさまざまなポート上の特定のインバウンドトラフィックを許可し、EC2 インスタンスにアクセスする能力を向上させようとします。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Persistence:IAMUser/ResourcePermissions

プリンシパルが、通常 AWS アカウントのさまざまなリソースのセキュリティアクセスポリシーを変更するために使用される API を呼び出した。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、AWS 環境の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この結果は、AWS 環境のプリンシパルが API を履歴なく呼び出す場合など、AWS リソースにアタッチされたポリシーまたはアクセス権限の変更が検出されるとトリガーされます。PutBucketPolicyAmazon S3 などの一部のサービスでは、リソースに対するプリンシパルアクセスを 1 つ以上付与する、リソースにアタッチされたアクセス許可をサポートします。盗まれた認証情報を使用した場合、攻撃者はリソースにアクセスするために、リソースにアタッチされたポリシーを変更できます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Persistence:IAMUser/UserPermissions

プリンシパルが、通常 AWS アカウントの IAM ユーザー、グループ、ポリシーを追加、変更、削除するために使用される API を呼び出した。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、AWS 環境の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この結果は、AWS 環境のユーザー関連のアクセス許可に対する不審な変更によってトリガーされます。たとえば、AWS 環境のプリンシパルが、いままで行ったことのない AttachUserPolicy API を呼び出す場合です。攻撃者は盗まれた認証情報を使用して、元のアクセスポイントが閉じていても、新しいユーザーの作成、既存のユーザーへのアクセスポリシーの追加、アカウントへのアクセスキーの作成を行い、アカウントへのアクセスを最大化することがあります。たとえば、アカウントの所有者が特定の IAM ユーザーまたはパスワードが盗まれたことに気付き、それをアカウントから削除する可能性があります。ただし、不正に作成した管理者プリンシパルによって作成された他のユーザーは削除されず、攻撃者が AWS アカウントにアクセスできるままです。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Policy:IAMUser/RootCredentialUsage

API がルート認証情報を使用して呼び出された。

デフォルトの重要度: 低

この結果では、お客様の環境に表示されている AWS アカウントのルート認証情報が AWS のサービスへのリクエストに使用されていることを知らせます。ユーザーは、ルート認証情報を使用して AWS のサービスにアクセスしないことをお勧めします。代わりに、AWS Security Token Service (STS) から一時的な最小限の特権認証情報を使用して AWS サービスにアクセスする必要があります。STS がサポートされていない状況では、IAM ユーザーの認証情報が推奨されます。詳細については、「IAM のベストプラクティス」を参照してください。

注記

この結果は、アカウントで S3 脅威検出が有効になっている場合に、AWS アカウントのルート認証情報を使用して S3 リソースで S3 データプレーンオペレーションを実行しようとしたときにそれに応じて生成される可能性があります。使用された API コールが結果の詳細に表示されます。S3 脅威の検出が有効になっていない場合、この結果は イベントログ API によってのみトリガーされます。S3 脅威検出の詳細については、「」を参照してくださいでの Amazon S3保護Amazon GuardDuty

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

PrivilegeEscalation:IAMUser/AdministrativePermissions

プリンシパルがそれ自体に非常に寛容なポリシーを割り当てようとしました。

デフォルトの重要度: 低*

注記

特権のエスカレーションに失敗した場合のこの結果の重大度は「低 (Low)」で、特権のエスカレーションに成功した場合は「中 (Medium)」です。

この結果は、AWS 環境の特定の IAM エンティティが特権エスカレーション攻撃を示す可能性のある動作をしていることを示しています。この結果は、IAM ユーザーまたはロールが許容度の高いポリシーを割り当てようとするとトリガーされます。問題となるユーザーまたはロールが管理者権限を持つことを意図しない場合は、ユーザーの認証情報が危険にさらされているか、ロールのアクセス許可が正しく設定されていない可能性があることを示します。

攻撃者は盗まれた認証情報を使用して、元のアクセスポイントが閉じている場合でも、新しいユーザーの作成、既存のユーザーへのアクセスポリシーの追加、アカウントへのアクセスキーの作成を行い、アカウントへのアクセスを最大化します。たとえば、アカウントの所有者が特定の IAM ユーザーまたはパスワードが盗まれたことに気づいてアカウントから削除したとしても、不正に作成した管理者プリンシパルによって作成された他のユーザーを削除せず、その AWS アカウントに攻撃者がアクセスすることが可能なままになっている場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Recon:IAMUser/MaliciousIPCaller

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、お客様の環境内のアカウント内の AWS リソースを一覧表示または記述できる API オペレーションが、内部脅威リストにある IP アドレスから呼び出されたことを知らせます。 は、サードパーティーのパートナーの脅威リストに基づいて結果を生成します。この結果を生成するために使用された脅威リストは、結果の詳細に表示されます。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、手に入れた認証情報の能力を確認するために、このような種類の AWS リソースの再編成を実行する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Recon:IAMUser/MaliciousIPCaller.Custom

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、お客様の環境内のアカウント内の AWS リソースをリストアップまたは記述できる API オペレーションが、カスタム脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。使用された脅威リストは、結果の詳細に表示されます。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、手に入れた認証情報の能力を確認するために、このような種類の AWS リソースの再編成を実行する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Recon:IAMUser/NetworkPermissions

プリンシパルが、通常 AWS アカウントACLsのセキュリティグループ、ルート、および のネットワークアクセス許可を変更するために使用される API を呼び出した。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、AWS 環境の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この結果は、AWS アカウントのリソースアクセス許可が不審な状況下で調査された場合にトリガーされます。たとえば、プリンシパルが API を呼び出したが、いままで行ったことのない場合などです。DescribeInstances攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、手に入れた認証情報の能力を確認するために、このような種類の AWS リソースの再編成を実行する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Recon:IAMUser/ResourcePermissions

プリンシパルが、通常 AWS アカウントのさまざまなリソースのセキュリティアクセスポリシーを変更するために使用される API を呼び出した。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、AWS 環境の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この結果は、AWS アカウントのリソースアクセス許可が不審な状況下で調査された場合にトリガーされます。たとえば、プリンシパルが API を呼び出したが、いままで行ったことのない場合などです。DescribeInstances攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、手に入れた認証情報の能力を確認するために、このような種類の AWS リソースの再編成を実行する場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Recon:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、お客様の環境内のアカウントの AWS リソースを一覧表示または記述できる API オペレーションが、Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。攻撃者は Tor を使用して真のアイデンティティをマスクします。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Recon:IAMUser/UserPermissions

プリンシパルが、通常 AWS アカウントの IAM ユーザー、グループ、ポリシーを追加、変更、削除するために使用される API を呼び出した。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、AWS 環境のユーザーアクセス権限が不審な状況下で調査された場合にトリガーされます。たとえば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が、 API を履歴なしで呼び出した場合などです。ListInstanceProfilesForRole攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、手に入れた認証情報の能力を確認するために、このような種類の AWS リソースの再編成を実行する場合があります。

この結果は、AWS 環境の特定のプリンシパルが通常とは異なる動作をしていることを示しています。このプリンシパルには、このような API コールの履歴はありません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

ResourceConsumption:IAMUser/ComputeResources

プリンシパルが通常は EC2 インスタンスなどのコンピューティングリソースを起動するために使用する API を呼び出しました。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、AWS 環境の一覧表示されたアカウントの EC2 インスタンスが不審な状況下で起動された場合にトリガーされます。この結果は、AWS 環境の特定のプリンシパルが、確立されたベースラインとは異なる動作を示していることを示しています。たとえば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が、以前に呼び出したことのない RunInstances API を呼び出した場合です。これは、攻撃者が盗まれた認証情報を使用して、コンピューティング時間を盗難 (暗号通貨マイニングやパスワードのクラッキングなど) している可能性を示します。または、攻撃者がお客様の AWS 環境の EC2 インスタンスおよび認証情報を使用してアカウントへのアクセスを維持している可能性を示している場合もあります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail 証跡が無効になりました。

デフォルトの重要度: 低

この結果では、AWS 環境内のCloudTrail証跡が無効化されたことを知らせます。攻撃者が追跡対象となるログ記録を無効化し、アクティビティの形跡を消すことで、悪意のある目的で AWS リソースにアクセスしようとしている可能性があります。この結果は、証跡情報の削除または更新が成功することによってトリガーされる場合があります。また、GuardDuty に関連付けられた証跡から、ログを保存する S3 バケットが適切に削除された場合にもトリガーされます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Stealth:IAMUser/LoggingConfigurationModified

プリンシパルが、通常 AWS アカウントのCloudTrailログ記録の停止、既存のログの削除、その他アクティビティのトレースの排除に使用する API を呼び出した。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、お客様の環境内の AWS アカウントのログ記録設定が不審な状況下で変更された場合にトリガーされます。この結果では、AWS 環境の特定のプリンシパルが、確立されたベースラインとは異なる動作を示していることを知らせます。たとえば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) がStopLogging、以前に呼び出したことのない API を呼び出した場合などです。これは、攻撃者が自身のアクティビティの痕跡を消去することで自身の行動を隠そうとしていることを示す場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

Stealth:IAMUser/PasswordPolicyChange

アカウントのパスワードポリシーが弱化されています。

デフォルトの重要度: 低

AWS 環境の一覧表示されているアカウントで、AWS アカウントのパスワードポリシーが弱化されています。たとえば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この結果は、AWS アカウントのパスワードポリシーを更新または削除しようとしてもトリガーされます。AWS アカウントのパスワードポリシーでは、IAM ユーザーに設定できるパスワードの種類を規定するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLogin

AWS アカウントのプリンシパルによる通常とは違うコンソールへのログインが確認された。

デフォルトの重要度: 中*

注記

この結果のデフォルトの重大度は「中」です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、結果の重大度は「高」になります。

この結果は、コンソールへのログインが不審な状況下で検出された場合にトリガーされます。たとえば、プリンシパルが、いままで行ったことのない ConsoleLogin API の呼び出しを、これまで使用したことのないクライアントまたは通常とは異なる場所から行った場合などです。これは、盗まれた認証情報が AWS アカウントにアクセスするために使用されているか、有効なユーザーが無効または安全ではない方法 (たとえば、許可された VPN 経由ではないなど) でアカウントにアクセスしている可能性を示します。

この結果では、AWS 環境の特定のプリンシパルが、確立されたベースラインとは異なる動作を示していることを知らせます。このプリンシパルには、この特定の場所からこのクライアントアプリケーションを使用してログインしたアクティビティの履歴はありません。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

世界中でコンソールに対する複数の正常なログインが確認されました。

デフォルトの重要度: ミディアム

この結果では、世界各地から同時に同じ IAM ユーザーによるコンソールへの複数の正常なログインが確認されたことを知らせます。このような通常と異なる、リスクの高いアクセスロケーションパターンは、AWS リソースへの未承認のアクセスの可能性を示しています。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration

インスタンス作成ロールで EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されています。

デフォルトの重要度: 高

この結果では、AWS 環境の EC2 インスタンスで作成された一時的な AWS 認証情報を使用して、EC2 外のホストから AWS API オペレーションを実行しようとしている試行について知らせます。リストされている EC2 インスタンスは侵害されていて、このインスタンスの一時的な認証情報が密かに AWS 外のリモートホストに抽出されている可能性があります。AWS は、一時的な認証情報を作成したエンティティ (AWS アプリケーション、EC2、Lambda など) 外にその認証情報を再配布することはお勧めしません。ただし、承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。攻撃の可能性を排除してアクティビティが正当であることを確認するには、これらの認証情報を割り当てる先の IAM ユーザーに問い合わせてみます。

注記

この結果は、アカウントで S3 脅威検出が有効になっている場合に、EC2 認証情報を使用して S3 リソースで S3 データプレーンオペレーションを実行しようとしたときに生成される可能性があります。使用された API コールが結果の詳細に表示されます。S3 脅威の検出が有効になっていない場合、この結果は イベントログ API によってのみトリガーされます。S3 脅威検出の詳細については、「」を参照してくださいでの Amazon S3保護Amazon GuardDuty

修正の推奨事項:

この結果は、VPC インターネットゲートウェイ (IGW) からではなく、オンプレミスゲートウェイからエグレスされるという方法で、インターネットトラフィックがルーティングされるようにネットワークが設定されている場合に生成されます。、AWS Outposts、VPC VPN 接続の使用などの一般的な設定では、この方法でトラフィックがルーティングされる可能性があります。これが予期した動作である場合は、 の抑制ルールを使用して、2 つのフィルター条件で構成されるルールを作成することをお勧めします。最初の条件では結果タイプとして を使用しますUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration。 2 番目のフィルタ条件は、オンプレミスのインターネットゲートウェイの IP アドレスまたは CIDR 範囲を持つ IPv4 API 発信者のアドレスです。抑制ルールの作成の詳細については、「抑制ルール」を参照してください。

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

API が既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が既知の悪意のある IP アドレスから呼び出されたことを知らせます。これは、お客様の環境内の AWS リソースへの未承認のアクセスを示している可能性があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が、アップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせます。 で、脅威リストは既知の悪意のある IP アドレスで構成されます。​ は、アップロードされた脅威リストに基づいて結果を生成します。これは、環境内の AWS リソースへの未承認のアクセスを示している可能性があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: ミディアム

この結果では、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などの試行) が Tor 出口ノードの IP アドレスから呼び出されたことを知らせます。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修正の推奨事項:

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「侵害されたAWS認証情報の修復」を参照してください。