廃止された検出結果タイプ - Amazon GuardDuty

廃止された検出結果タイプ

検出結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。新しく追加されたタイプや廃止されたタイプを含む、GuardDuty の検出結果タイプの重要な変更点については、「Amazon GuardDuty のドキュメント履歴」を参照してください。

GuardDuty により生成された、次の検出結果タイプは廃止されています (今後生成されません)。

重要

GuardDuty の廃止された検出結果タイプを再アクティブ化することはできません。

Exfiltration:S3/ObjectRead.Unusual

IAM エンティティが疑わしい方法で S3 API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

  • データソース: S3 CloudTrail データイベント

この検出結果は、AWS 環境中の IAM エンティティは、S3 バケットを含み、そのエンティティの確立されたベースラインとは異なる API コールが実行されていることを知らせるものです。このアクティビティで使用される API コールは、攻撃の抽出段階に関連付けられており、攻撃者はデータを収集しようとしています。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Impact:S3/PermissionsModification.Unusual

IAM エンティティが API を呼び出して、1 つ以上の S3 リソースの許可を変更しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、IAM エンティティが、AWS 環境内の 1 つ以上のバケットまたはオブジェクトの許可を変更するように設計された API コールを行っていることを知らせるものです。このアクションは、攻撃者により、アカウント外で情報を共有できるよう実行された可能性があります。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Impact:S3/ObjectDelete.Unusual

IAM エンティティが S3 バケット内のデータを削除するために使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、AWS 環境内の特定の IAM エンティティが、バケット自体を削除して、リストされた S3 バケットのデータを削除するように設計された API コールを実行していることを知らせるものです。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Discovery:S3/BucketEnumeration.Unusual

IAM エンティティが、ネットワーク内の S3 バケットを検出するために使用される S3 API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、IAM エンティティが S3 API を呼び出して、環境内の ListBuckets などの S3 バケットを検出したことを知らせるものです。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Persistence:IAMUser/NetworkPermissions

IAM ユーザーが、AWS アカウントのセキュリティグループ、ルート、ACL のネットワーク許可を変更するために一般的に使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、AWS 環境の特定のプリンシパル (AWS アカウントルートユーザー、IAM ロール、または IAM ユーザー) が通常とは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この検出結果は、ネットワーク構成設定が不審な状況下で変更された場合、例えば、プリンシパルが CreateSecurityGroup API を呼び出したが、それ以前に呼び出しの履歴がない場合などにトリガーされます。攻撃者はよく、セキュリティグループの変更を試み、さまざまなポートで特定のインバウンドトラフィックを許可させて彼らが EC2 インスタンスにアクセスする能力を向上させようとします。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

Persistence:IAMUser/ResourcePermissions

プリンシパルが、AWS アカウントのさまざまなリソースのセキュリティアクセスポリシーを変更するために一般的に使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は「高」になります。

この検出結果は、AWS 環境の特定のプリンシパル (AWS アカウントルートユーザー、IAM ロール、または IAM ユーザー) が通常とは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この検出結果は、AWS リソースにアタッチされたポリシーや許可に変更が見られた場合、例えば、AWS 環境のプリンシパルが PutBucketPolicy API を呼び出したが、それ以前に呼び出しの履歴がない場合などにトリガーされます。Amazon S3 など一部のサービスでは、リソースに対するプリンシパルアクセスを 1 つ以上付与する、リソースにアタッチされた許可をサポートします。盗まれた認証情報が使用されると、攻撃者はリソースにアタッチされたポリシーを変更し、自身にそのリソースに対する今後のアクセスを付与できます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

Persistence:IAMUser/UserPermissions

プリンシパルが、AWS アカウントの IAM ユーザー、グループ、ポリシーを追加、変更、削除するために一般的に使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、AWS 環境の特定のプリンシパル (AWS アカウントルートユーザー、IAM ロール、または IAM ユーザー) が通常とは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この検出結果は、AWS 環境のユーザー関連の許可に不審な変更があった場合、例えば、AWS 環境のプリンシパルが AttachUserPolicy API を呼び出したが、それ以前に呼び出しの履歴がない場合などにトリガーされます。攻撃者は、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの追加、またはアクセスキーの作成により、元のアクセスポイントが閉じられている場合であってもアカウントへのアクセスを最大化することがあります。例えば、アカウントの所有者が特定の IAM ユーザーまたはパスワードが盗まれたことに気づいてアカウントから削除したとします。ただし、不正に作成された管理者プリンシパルによって作成された他のユーザーを削除することはなく、攻撃者が AWS アカウントにアクセスできる状態にしてしまう可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

PrivilegeEscalation:IAMUser/AdministrativePermissions

プリンシパルがそれ自体に非常に寛容なポリシーを割り当てようとしました。

デフォルトの重要度: [Low] (低)*

注記

特権のエスカレーションに失敗した場合のこの検出結果の重要度は [Low] (低) で、特権のエスカレーションに成功した場合は [Medium] (中) です。

この検出結果は、AWS 環境の特定の IAM エンティティが特権エスカレーション攻撃を示す可能性のある動作をしていることを示します。この検出結果は、IAM ユーザーまたはロールが許容度の高いポリシーを割り当てようとするとトリガーされます。問題となるユーザーまたはロールが管理者特権を持つことを意図しない場合は、ユーザーの認証情報が危険にさらされているか、ロールの許可が正しく設定されていない可能性があることを示します。

攻撃者は、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの追加、またはアクセスキーの作成により、元のアクセスポイントが閉じられている場合であってもアカウントへのアクセスを最大化します。アカウントの所有者が特定の IAM ユーザーまたはパスワードが盗まれたことに気づいてアカウントから削除したとしても、不正に作成した管理者プリンシパルによって作成された他のユーザーを削除せず、その AWS アカウントに攻撃者がアクセスすることが可能なままになっている場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

Recon:IAMUser/NetworkPermissions

プリンシパルが、AWS アカウントのセキュリティグループ、ルート、ACL のネットワークアクセス許可を変更するために一般的に使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、AWS 環境の特定のプリンシパル (AWS アカウントルートユーザー、IAM ロール、または IAM ユーザー) が通常とは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この検出結果は、AWS アカウントのリソース許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパルが DescribeInstances API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、入手した認証情報の機能を特定するために、ユーザーの AWS リソースの偵察を行うことがあります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

Recon:IAMUser/ResourcePermissions

プリンシパルが、AWS アカウントのさまざまなリソースのセキュリティアクセスポリシーを変更するために一般的に使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、AWS 環境の特定のプリンシパル (AWS アカウントルートユーザー、IAM ロール、または IAM ユーザー) が通常とは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。

この検出結果は、AWS アカウントのリソース許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパルが DescribeInstances API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、入手した認証情報の機能を特定するために、ユーザーの AWS リソースの偵察を行うことがあります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

Recon:IAMUser/UserPermissions

プリンシパルが、AWS アカウントの IAM ユーザー、グループ、ポリシーを追加、変更、削除するために一般的に使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、AWS 環境のユーザー許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパル (AWS アカウントルートユーザー、IAM ロール、または IAM ユーザー) が ListInstanceProfilesForRole API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は盗まれた認証情報を使用して、より重要な認証情報を見つけたり、入手した認証情報の機能を特定するために、ユーザーの AWS リソースの偵察を行うことがあります。

この検出結果は、AWS 環境の特定のプリンシパルが通常とは異なる動作をしていることを示しています。このプリンシパルには、このような API コールの履歴はありません。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

ResourceConsumption:IAMUser/ComputeResources

プリンシパルが、EC2 インスタンスなどのコンピューティングリソースを起動するために一般的に使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、AWS 環境にリストされたアカウント内の EC2 インスタンスが不審な状況下で起動された場合にトリガーされます。この検出結果は、AWS 環境の特定のプリンシパルが通常とは異なる動作をしていることを示しています。例えば、プリンシパル (AWS アカウントルートユーザー、IAM ロール、または IAM ユーザー) が RunInstances API を呼び出したが、それ以前に呼び出しの履歴がない場合です。これは、攻撃者が盗まれた認証情報を使用して、コンピューティング時間を盗難 (暗号通貨マイニングやパスワードのクラッキングなど) している可能性を示します。または、攻撃者が AWS 環境の EC2 インスタンスおよび認証情報を使用してアカウントへのアクセスを維持している可能性を示している場合もあります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

Stealth:IAMUser/LoggingConfigurationModified

プリンシパルが、AWS アカウントの CloudTrail によるログ記録の停止、既存のログの削除、その他アクティビティの痕跡を消すために一般的に使用される API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、環境内でリストされた AWS アカウントのログ記録設定が不審な状況下で変更された場合にトリガーされます。この検出結果は、AWS 環境の特定のプリンシパルが通常とは異なる動作をしていることを知らせるものです。例えば、プリンシパル (AWS アカウントルートユーザー、IAM ロール、または IAM ユーザー) が StopLogging API を呼び出したが、それ以前に呼び出しの履歴がない場合です。これは、攻撃者が自身のアクティビティの痕跡を消去することで自身の行動を隠そうとしていることを示す場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLogin

AWS アカウントのプリンシパルによる通常とは違うコンソールへのログインが確認されました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

この検出結果は、コンソールへのログインが不審な状況下で検出された場合にトリガーされます。例えば、プリンシパルが、これまで行ったことのない ConsoleLogin API の呼び出しを、これまで使用したことのないクライアントまたは通常とは異なる場所から行った場合などです。これは、盗まれた認証情報が AWS アカウントにアクセスするために使用されているか、有効なユーザーが無効または安全ではない方法 (例えば、許可された VPN 経由ではないなど) でアカウントにアクセスしている可能性を示します。

この検出結果は、AWS 環境の特定のプリンシパルが通常とは異なる動作をしていることを知らせるものです。このプリンシパルには、この特定の場所からこのクライアントアプリケーションを使用してログインしたアクティビティの履歴はありません。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:EC2/TorIPCaller

EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信しています。

デフォルトの重要度: [Medium] (中)

この検出結果は、AWS 環境内の EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信していることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この検出結果は、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修復」を参照してください。

Backdoor:EC2/XORDDOS

EC2 インスタンスが通信しようとしている IP アドレスには XOR DDoS マルウェアが関連付けられています。

デフォルトの重要度: [High] (高)

この検出結果は、AWS 環境内の EC2 インスタンスが通信しようとしている IP アドレスに XOR DDoS マルウェアが関連付けられていることを知らせるものです。この EC2 インスタンスは侵害されている可能性があります。XOR DDoS は、Linux システムをハイジャックするトロイの木馬マルウェアです。システムへのアクセスを得るため、このマルウェアは Linux 上の Secure Shell (SSH) サービスへのパスワードを発見するためのブルートフォース攻撃を開始します。SSH 認証情報を取得してログインに成功すると、ルート権限を使用して、XOR DDoS をダウンロードしてインストールするスクリプトを実行します。その後、このマルウェアはボットネットの一部として、他のターゲットに対する分散型サービス拒否 (DDoS) 攻撃を開始します。

修復のレコメンデーション

このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修復」を参照してください。

Behavior:IAMUser/InstanceLaunchUnusual

IAM ユーザーが起動した EC2 インスタンスのタイプが通常と異なります。

デフォルトの重要度: [High] (高)

この検出結果は、AWS 環境の特定の IAM ユーザーが通常とは異なる動作をしていることを知らせるものです。この IAM ユーザーには、このタイプの EC2 インスタンスを起動した履歴がありません。IAM ユーザーの認証情報は侵害されている可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。

CryptoCurrency:EC2/BitcoinTool.A

EC2 インスタンスはビットコインマイニングプールと通信しています。

デフォルトの重要度: [High] (高)

この検出結果は、AWS 環境の EC2 インスタンスがビットコインマイニングプールと通信していることを知らせるものです。暗号通貨マイニングの分野で、マイニングプールとはマイナー (採掘者) によるリソースの共同出資 (プール) であり、ネットワークで処理能力を共有し、ブロックの解決に貢献した度合いに応じて報酬の分配を受ける仕組みです。この EC2 インスタンスをビットコインマイニングに使用していない限り、EC2 インスタンスは侵害されている可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された EC2 インスタンスの修復」を参照してください。

UnauthorizedAccess:IAMUser/UnusualASNCaller

API が通常とは異なるネットワークの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

この検出結果は、特定のアクティビティが通常とは異なるネットワークの IP アドレスから呼び出されたことを知らせるものです。これは、記述されたユーザーの AWS の使用履歴全体で一度も確認されていないネットワークです。このアクティビティには、コンソールログイン、EC2 インスタンスの起動、新しい IAM ユーザーの作成、AWS 権限の変更などが含まれます。これは、AWS リソースへの未承認のアクセスを示している場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「侵害された AWS 認証情報の修復」を参照してください。