廃止された検出結果タイプ

検出結果は、 GuardDuty 検出される潜在的なセキュリティ問題の詳細を含む通知です。新しく追加または廃止された GuardDuty 検出結果タイプなど、検出結果タイプに対する重要な変更については、「」を参照してくださいAmazon のドキュメント履歴 GuardDuty。

次の検出結果タイプは廃止され、 によって生成されなくなります GuardDuty。

重要

廃止された GuardDuty 検出結果タイプを再アクティブ化することはできません。

Exfiltration:S3/ObjectRead.Unusual

IAM エンティティが疑わしい方法で S3 APIを呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

• データソース: CloudTrail S3 のデータイベント

この検出結果は、 AWS 環境内のIAMエンティティが S3 バケットを含み、そのエンティティの確立されたベースラインとは異なるAPI呼び出しを行っていることを知らせるものです。このアクティビティで使用されるAPI呼び出しは、攻撃の抽出ステージに関連付けられ、攻撃者はデータを収集しようとしています。このアクティビティは、IAMエンティティが を呼び出す方法が異常APIであったため、疑わしいです。例えば、このIAMエンティティには、このタイプの を呼び出す履歴がないかAPI、 APIが異常な場所から呼び出されたとします。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Impact:S3/PermissionsModification.Unusual

IAM エンティティが を呼び出しAPIて、1 つ以上の S3 リソースに対するアクセス許可を変更しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、IAMエンティティが環境内の 1 つ以上のバケットまたはオブジェクトに対するアクセス許可を変更するように設計されたAPI呼び出しを行っていることを知らせるものです AWS 。このアクションは、攻撃者により、アカウント外で情報を共有できるよう実行された可能性があります。このアクティビティは、IAMエンティティが を呼び出す方法が異常APIであったため、疑わしいです。例えば、このIAMエンティティには、このタイプの を呼び出す履歴がないかAPI、 APIが異常な場所から呼び出されたとします。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Impact:S3/ObjectDelete.Unusual

S3 バケット内のデータを削除するAPIために使用される を呼び出すIAMエンティティ。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、 AWS 環境内の特定のIAMエンティティが、バケット自体を削除して、リストされた S3 バケット内のデータを削除するように設計されたAPI呼び出しを行っていることを知らせます。このアクティビティは、IAMエンティティが を呼び出す方法が異常APIであったため、疑わしいです。例えば、このIAMエンティティには、このタイプの を呼び出す履歴がないかAPI、 APIが異常な場所から呼び出されたとします。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Discovery:S3/BucketEnumeration.Unusual

IAM エンティティは、ネットワーク内の S3 バケットを検出するAPIために使用される S3 を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、IAMエンティティが S3 を呼び出しAPIて、 などの環境内の S3 バケットを検出したことを通知しますListBuckets。このタイプのアクティビティは、攻撃者が情報を収集して AWS 、環境がより広範な攻撃の影響を受けやすいかどうかを判断する攻撃の検出段階に関連付けられています。このアクティビティは、IAMエンティティが を呼び出す方法が異常APIであったため、疑わしいです。例えば、このIAMエンティティには、このタイプの を呼び出す履歴がないかAPI、 APIが異常な場所から呼び出されたとします。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修正」を参照してください。

Persistence:IAMUser/NetworkPermissions

IAM エンティティは、 AWS アカウントACLs内のセキュリティグループ、ルート、および のネットワークアクセス許可を変更するためにAPI一般的に使用される を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAMロール、またはユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この を呼び出した履歴はありませんAPI。

この検出結果は、プリンシパルが以前に呼び出した履歴がない CreateSecurityGroup API を呼び出すなど、疑わしい状況でネットワーク設定が変更された場合にトリガーされます。攻撃者は、多くの場合、セキュリティグループを変更して、さまざまなポートで特定のインバウンドトラフィックを許可し、EC2インスタンスへのアクセス能力を向上させようとします。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Persistence:IAMUser/ResourcePermissions

プリンシパルは、 内のさまざまなリソースのセキュリティアクセスポリシーを変更するためにAPI一般的に使用される を呼び出しました AWS アカウント。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、 APIが呼び出され、インスタンスで作成された一時的な AWS 認証情報を使用している場合、結果の重要度は高になります。

この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAMロール、またはユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この を呼び出した履歴はありませんAPI。

この検出結果は、 AWS 環境のプリンシパルが以前にアクセス履歴PutBucketPolicyAPIのない を呼び出す場合など、 AWS リソースにアタッチされたポリシーまたはアクセス許可に対する変更が検出されたときにトリガーされます。Amazon S3 など一部のサービスでは、リソースに対するプリンシパルアクセスを 1 つ以上付与する、リソースにアタッチされた許可をサポートします。盗まれた認証情報が使用されると、攻撃者はリソースにアタッチされたポリシーを変更し、自身にそのリソースに対する今後のアクセスを付与できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Persistence:IAMUser/UserPermissions

プリンシパルは、 AWS アカウント内のIAMユーザー、グループ、またはポリシーを追加、変更、または削除するためにAPI一般的に使用される を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAMロール、またはユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この を呼び出した履歴はありませんAPI。

この検出結果は、 AWS 環境内のプリンシパルが以前に呼び出した履歴がない AttachUserPolicy API を呼び出す場合など、環境内の AWS ユーザー関連のアクセス許可に対する疑わしい変更によってトリガーされます。攻撃者は、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの追加、またはアクセスキーの作成により、元のアクセスポイントが閉じられている場合であってもアカウントへのアクセスを最大化することがあります。例えば、アカウントの所有者は、特定のIAMユーザーまたはパスワードが盗まれたことに気づき、アカウントから削除する場合があります。ただし、不正に作成された管理者プリンシパルによって作成された他のユーザーを削除して、攻撃者が AWS アカウントにアクセスできるようにすることはできません。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

PrivilegeEscalation:IAMUser/AdministrativePermissions

プリンシパルがそれ自体に非常に寛容なポリシーを割り当てようとしました。

デフォルトの重要度: [Low] (低)*

注記

特権のエスカレーションに失敗した場合のこの検出結果の重要度は [Low] (低) で、特権のエスカレーションに成功した場合は [Medium] (中) です。

この検出結果は、 AWS 環境内の特定のIAMエンティティが、特権エスカレーション攻撃を示す可能性のある動作を示していることを示しています。この検出結果は、IAMユーザーまたはロールが高許可ポリシーを自分自身に割り当てようとしたときにトリガーされます。問題となるユーザーまたはロールが管理者特権を持つことを意図しない場合は、ユーザーの認証情報が危険にさらされているか、ロールの許可が正しく設定されていない可能性があることを示します。

攻撃者は、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの追加、またはアクセスキーの作成により、元のアクセスポイントが閉じられている場合であってもアカウントへのアクセスを最大化します。例えば、アカウントの所有者は、特定のIAMユーザーのサインイン認証情報が盗まれてアカウントから削除されたことに気付くかもしれませんが、不正に作成された管理者プリンシパルによって作成された他のユーザーを削除せず、その AWS アカウントを攻撃者が引き続きアクセスできるままにする可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Recon:IAMUser/NetworkPermissions

プリンシパルは、 AWS アカウントACLs内のセキュリティグループ、ルート、および のネットワークアクセス許可を変更するためにAPI一般的に使用される を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAMロール、またはユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この を呼び出した履歴はありませんAPI。

この検出結果は、 AWS アカウントのリソース許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパルが以前に呼び出した履歴がない DescribeInstances API を呼び出した場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Recon:IAMUser/ResourcePermissions

プリンシパルは、 AWS アカウント内のさまざまなリソースのセキュリティアクセスポリシーを変更するためにAPI一般的に使用される を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAMロール、またはユーザー) が、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、この を呼び出した履歴はありませんAPI。

この検出結果は、 AWS アカウントのリソース許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパルが以前に呼び出した履歴がない DescribeInstances API を呼び出した場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Recon:IAMUser/UserPermissions

プリンシパルは、 AWS アカウント内のIAMユーザー、グループ、またはポリシーを追加、変更、または削除するためにAPI一般的に使用される を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、 AWS 環境内のユーザーアクセス許可が疑わしい状況で調査されたときにトリガーされます。例えば、プリンシパル (AWS アカウントのルートユーザー、IAMロール、またはIAMユーザー) が、それまでの履歴がない ListInstanceProfilesForRole API を呼び出した場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する場合があります。

この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作を示していることを示しています。このプリンシパルには、APIこの方法でこの呼び出しを行った履歴はありません。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

ResourceConsumption:IAMUser/ComputeResources

プリンシパルは、EC2インスタンスなどの Compute リソースを起動するためにAPI一般的に使用される を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、 AWS 環境内のリストされたアカウントのEC2インスタンスが疑わしい状況で起動されたときにトリガーされます。この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作を示していることを示しています。例えば、プリンシパル (AWS アカウントのルートユーザー、IAMロール、またはIAMユーザー) が、以前に呼び出したことのない RunInstances API を呼び出した場合などです。これは、攻撃者が盗まれた認証情報を使用して、コンピューティング時間を盗難 (暗号通貨マイニングやパスワードのクラッキングなど) している可能性を示します。また、攻撃者が AWS 環境内のEC2インスタンスとその認証情報を使用して、アカウントへのアクセスを維持する兆候である可能性もあります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

Stealth:IAMUser/LoggingConfigurationModified

プリンシパルは、 CloudTrail ログ記録を停止したり、既存のログを削除したり、 AWS アカウント内のアクティビティのトレースを削除したりするためにAPI一般的に使用される を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、環境内でリストされた AWS アカウントのログ記録設定が不審な状況下で変更された場合にトリガーされます。この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作を示していることを知らせます。例えば、プリンシパル (AWS アカウントのルートユーザー、IAMロール、またはIAMユーザー) が、以前に呼び出した履歴がない StopLogging API を呼び出した場合などです。これは、攻撃者が自身のアクティビティの痕跡を消去することで自身の行動を隠そうとしていることを示す場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLogin

AWS アカウントのプリンシパルによる異常なコンソールログインが観察されました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して APIが呼び出された場合、結果の重要度は高になります。

この検出結果は、コンソールへのログインが不審な状況下で検出された場合にトリガーされます。例えば、それを行ったことがないプリンシパルが、クライアントまたは異常な場所から を never-before-used呼び出した場合 ConsoleLogin APIなどです。これは、盗まれた認証情報が AWS アカウントへのアクセスに使用されること、または無効または安全性の低い方法でアカウントにアクセスする有効なユーザーを示す可能性があります (例えば、承認された 経由ではない）VPN。

この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作を示していることを知らせるものです。このプリンシパルには、この特定の場所からこのクライアントアプリケーションを使用してログインしたアクティビティの履歴はありません。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

UnauthorizedAccess:EC2/TorIPCaller

EC2 インスタンスは Tor 終了ノードからインバウンド接続を受信しています。

デフォルトの重要度: [Medium] (中)

この検出結果は、 AWS 環境内のEC2インスタンスが Tor 終了ノードからインバウンド接続を受信していることを通知します。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この検出結果は、攻撃者の真のアイデンティティを隠す目的で、 AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された可能性のある Amazon EC2インスタンスの修正」を参照してください。

Backdoor:EC2/XORDDOS

EC2 インスタンスは、XORDDoSマルウェアに関連付けられている IP アドレスとの通信を試みています。

デフォルトの重要度: [High] (高)

この検出結果は、 AWS 環境内のEC2インスタンスがXORDDoSマルウェアに関連付けられている IP アドレスとの通信を試みていることを知らせるものです。このEC2インスタンスは侵害されている可能性があります。XOR DDoS は、Linux システムを乗っ取るトロイの木馬マルウェアです。システムにアクセスするために、Linux 上の Secure Shell (SSH) サービスのパスワードを検出するためにブルートフォース攻撃を開始します。SSH 認証情報を取得してログインが成功すると、ルートユーザー権限を使用して、 XOR をダウンロードしてインストールするスクリプトを実行しますDDoS。このマルウェアは、ボットネットの一部として使用され、他のターゲットに対する分散サービス拒否 (DDoS) 攻撃を開始します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された可能性のある Amazon EC2インスタンスの修正」を参照してください。

Behavior:IAMUser/InstanceLaunchUnusual

ユーザーが異常なタイプのEC2インスタンスを起動しました。

デフォルトの重要度: [High] (高)

この検出結果は、 AWS 環境内の特定のユーザーが、確立されたベースラインとは異なる動作を示していることを知らせるものです。このユーザーには、このタイプのEC2インスタンスを起動した履歴はありません。サインイン認証情報は侵害されている可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。

CryptoCurrency:EC2/BitcoinTool.A

EC2 インスタンスは Bitcoin マイニングプールと通信しています。

デフォルトの重要度: [High] (高)

この検出結果は、 AWS 環境内のEC2インスタンスが Bitcoin マイニングプールと通信していることを通知します。暗号通貨マイニングの分野で、マイニングプールとはマイナー (採掘者) によるリソースの共同出資 (プール) であり、ネットワークで処理能力を共有し、ブロックの解決に貢献した度合いに応じて報酬の分配を受ける仕組みです。Bitcoin マイニングにこのEC2インスタンスを使用しないと、EC2インスタンスが侵害される可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された可能性のある Amazon EC2インスタンスの修正」を参照してください。

UnauthorizedAccess:IAMUser/UnusualASNCaller

API は、異常なネットワークの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

この検出結果は、特定のアクティビティが通常とは異なるネットワークの IP アドレスから呼び出されたことを知らせるものです。これは、記述されたユーザーの AWS の使用履歴全体で一度も確認されていないネットワークです。このアクティビティには、コンソールログイン、EC2インスタンスの起動の試み、新しいIAMユーザーの作成、権限の変更 AWS などが含まれます。これは、 AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 可能性のある認証情報の修正」を参照してください。