GuardDuty S3 検索タイプ - Amazon GuardDuty
Discovery:S3/AnomalousBehaviorDiscovery:S3/MaliciousIPCallerDiscovery:S3/MaliciousIPCaller.CustomDiscovery:S3/TorIPCallerExfiltration:S3/AnomalousBehaviorExfiltration:S3/MaliciousIPCallerImpact:S3/AnomalousBehavior.DeleteImpact:S3/AnomalousBehavior.PermissionImpact:S3/AnomalousBehavior.WriteImpact:S3/MaliciousIPCallerPenTest:S3/KaliLinuxPenTest:S3/ParrotLinuxPenTest:S3/PentooLinuxPolicy:S3/AccountBlockPublicAccessDisabledPolicy:S3/BucketAnonymousAccessGrantedPolicy:S3/BucketBlockPublicAccessDisabledPolicy:S3/BucketPublicAccessGrantedStealth:S3/ServerAccessLoggingDisabledUnauthorizedAccess:S3/MaliciousIPCaller.CustomUnauthorizedAccess:S3/TorIPCaller

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

GuardDuty S3 検索タイプ

以下の結果は Amazon S3 リソースに固有のもので、S3Bucketデータソースが S3 のデータイベントか、CloudTrail AccessKeyCloudTrail データソースが管理イベントかのリソースタイプになります。検出結果の重要度と詳細は、検出結果タイプとバケットに関連付けられている許可によって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。データソースとモデルの詳細については、「基礎データソース」を参照してください。

重要

S3 CloudTrail のデータイベントのデータソースに関する結果は、S3 保護が有効になっている場合にのみ生成されます GuardDuty。2020 年 7 月 31 日よりも後に作成されたすべてのアカウントでは、S3 Protection がデフォルトで有効になっています。S3 Protection を有効または無効にする方法については、「Amazon での Amazon S3 Protection GuardDuty」を参照してください。

すべての S3Bucket タイプの検出結果では、問題のバケットに対するアクセス権限と検出結果に関係するユーザーのアクセス権限を確認することをお勧めします。予期しないアクティビティについては、「侵害された可能性のある S3 バケットの修復」に記載されている修復レコメンデーションを参照してください。

Discovery:S3/AnomalousBehavior

S3 オブジェクトの検出に一般的に使用される API が、異常な方法で呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース:S3 CloudTrail のデータイベント

この検出結果は、IAM エンティティが S3 API を呼び出して、環境内の ListObjects などの S3 バケットを検出したことを知らせるものです。この種のアクティビティは、攻撃者が情報を収集して、 AWS お客様の環境が広範囲にわたる攻撃を受けやすいかどうかを判断する攻撃の発見段階に関連しています。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。例えば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API 呼び出したりした場合です。

この API は、異常検知機械学習 (ML) GuardDuty モデルによって異常と判断されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Discovery:S3/MaliciousIPCaller

AWS 環境内のリソースの検出によく使用される S3 API が、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース:CloudTrail S3 のデータイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。監視対象の API は通常、攻撃者が環境に関する情報を収集している攻撃の発見段階に関連付けられます。 AWS 例には、GetObjectAclListObjects が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Discovery:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース:S3 CloudTrail のデータイベント

この検出結果は、GetObjectAcl または ListObjects などの S3 API が、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせています。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、 AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Discovery:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース:S3 CloudTrail のデータイベント

この検出結果は、GetObjectAclListObjects などの S3 API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。この種のアクティビティは、攻撃者が情報を収集して、 AWS 環境が広範囲にわたる攻撃を受けやすいかどうかを判断する攻撃の発見段階に関連しています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、 AWS 攻撃者の正体を隠す目的でリソースに不正にアクセスしたことを示している可能性があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Exfiltration:S3/AnomalousBehavior

IAM エンティティが疑わしい方法で S3 API を呼び出しました。

デフォルトの重要度: [High] (高)

  • データソース:S3 CloudTrail のデータイベント

この検出結果から、IAM エンティティが S3 バケットの関連している API コールを行い、このアクティビティがそのエンティティの確立されたベースラインと異なっていることがわかります。このアクティビティで使用された API コールは、攻撃の抽出段階に関連付けられており、攻撃者はデータを収集します。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。例えば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API 呼び出したりした場合です。

この API は、 GuardDutyの異常検知機械学習 (ML) モデルによって異常と判断されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Exfiltration:S3/MaliciousIPCaller

AWS 環境からデータを収集するために一般的に使用される S3 API が、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース:CloudTrail S3 のデータイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は、攻撃者がネットワークからデータを収集しようとしている侵入戦術に一般的に関連しています。例には、GetObjectCopyObject が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Impact:S3/AnomalousBehavior.Delete

IAM エンティティが疑わしい方法でデータを削除をしようとした S3 API を呼び出しました。

デフォルトの重要度: [High] (高)

  • データソース:S3 CloudTrail のデータイベント

この結果から、 AWS 環境内の IAM エンティティが S3 バケットに関する API 呼び出しを行っていて、この動作がそのエンティティで確立されたベースラインと異なることがわかります。このアクティビティで使用された API コールは、データを削除しようとする攻撃に関連付けられています。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。例えば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API 呼び出したりした場合です。

この API は、 GuardDutyの異常検知機械学習 (ML) モデルによって異常と判断されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、以前のオブジェクトバージョンを復元できるかどうか、または復元する必要があるかどうかを判断することをお勧めします。

Impact:S3/AnomalousBehavior.Permission

アクセスコントロールリスト (ACL) のアクセス許可設定に一般的に使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース:S3 のデータイベント CloudTrail

この結果から、 AWS 環境内の IAM エンティティが、リストされている S3 バケットのバケットポリシーまたは ACL を変更したことが通知されます。この変更により、S3 バケットが認証されたすべてのユーザーに公開される可能性があります。 AWS

この API は、 GuardDutyの異常検知機械学習 (ML) モデルによって異常と判定されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、オブジェクトが予期せずパブリックアクセスを許可されていなかったか確認することをお勧めします。

Impact:S3/AnomalousBehavior.Write

IAM エンティティが疑わしい方法でデータの書き込みをしようとした S3 API を呼び出しました。

デフォルトの重要度: [Medium] (中)

  • データソース:S3 のデータイベント CloudTrail

この結果から、 AWS 環境内の IAM エンティティが S3 バケットに関する API 呼び出しを行っていて、この動作がそのエンティティで確立されたベースラインと異なることがわかります。このアクティビティで使用された API コールは、データを書き込もうとする攻撃に関連付けられています。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。例えば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API 呼び出したりした場合です。

この API は、 GuardDutyの異常検知機械学習 (ML) モデルによって異常と判断されました。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、この API 呼び出しが悪意のあるデータや不正なデータを書き込んでいなかったか確認することをお勧めします。

Impact:S3/MaliciousIPCaller

AWS 環境内のデータやプロセスの改ざんによく使用される S3 API が、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース:S3 CloudTrail のデータイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。監視対象の API は、攻撃者が環境内のデータを操作、中断、または破壊しようとするインパクト戦術に関連しているのが一般的です。 AWS 例には、PutObjectPutObjectAcl が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

PenTest:S3/KaliLinux

S3 API が Kali Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース:S3 のデータイベント CloudTrail

この結果から、Kali Linux を実行しているマシンが、アカウントの認証情報を使用して S3 API 呼び出しを行っていることがわかります。 AWS 認証情報は侵害されている可能性があります。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。また、攻撃者はこのツールを使用して EC2 設定の弱点を発見し、お客様の環境に不正にアクセスします。 AWS

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

PenTest:S3/ParrotLinux

S3 API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース:S3 CloudTrail のデータイベント

この結果から、Parrot Security Linux を実行しているマシンが、アカウントの認証情報を使用して S3 API 呼び出しを行っていることがわかります。 AWS 認証情報は侵害されている可能性があります。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、 AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

PenTest:S3/PentooLinux

S3 API が Pentoo Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース:S3 CloudTrail のデータイベント

この結果から、Pentoo Linux を実行しているマシンが、アカウントの認証情報を使用して S3 API 呼び出しを行っていることがわかります。 AWS 認証情報は侵害されている可能性があります。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。また、攻撃者はこのツールを使用して EC2 設定の弱点を発見し、お客様の環境に不正にアクセスします。 AWS

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Policy:S3/AccountBlockPublicAccessDisabled

IAM エンティティが、アカウント上の S3 ブロックパブリックアクセスを無効にするために使用される API を呼び出しました。

デフォルトの重要度: [Low] (低)

  • データソース:CloudTrail 管理イベント

この検出結果は、Amazon S3 ブロックパブリックアクセスがアカウントレベルで無効されたことを知らせるものです。S3 ブロックパブリックアクセス設定が有効化されると、それらはデータが誤って公開されるのを防ぐためのセキュリティ対策として、バケット上でポリシー、またはアクセスコントロールリスト (ACL) をフィルタリングするために使われます。

バケット内、またはバケット内のオブジェクトへの公開アクセスを許可するために、通常、S3 ブロックパブリックアクセスは、アカウントでは無効になっています。アカウントのために S3 ブロックパブリックアクセスを無効にすると、バケットへのアクセスは、個々のバケットに適用されるポリシー、ACL、またはバケットレベルのパブリックアクセス設定によって制御されます。これは、必ずしもバケットがパブリックに共有されているということではありませんが、アクセスへの適切なレベルが提供されているのを確認するために、バケットに対して適用される許可を監査する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Policy:S3/BucketAnonymousAccessGranted

IAM プリンシパルは、バケットポリシーまたは ACL を変更することにより、インターネットへの S3 バケットへのアクセスを許可しています。

デフォルトの重要度: [High] (高)

  • データソース:CloudTrail 管理イベント

この検出結果から、IAM エンティティが、そのバケット上のバケットポリシーまたは ACL を変更したため、リストされた S3 バケットがインターネット上でパブリックにアクセス可能になったことを知らせるものです。ポリシーまたは ACL の変更が検出された後に、Zelkova によって提供された自動推論を使用して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが明示的に拒否またはすべてを拒否するように設定されている場合、この検出結果はバケットの現在の状態を反映していない可能性があります。この検出結果には、S3 バケットで有効になっている可能性のある S3 ブロックパブリックアクセス設定は反映されません。このような場合、検出結果の effectivePermission 値には UNKNOWN としてマークされます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Policy:S3/BucketBlockPublicAccessDisabled

IAM エンティティが、バケットの S3 ブロックパブリックアクセスを無効にするために使用される API を呼び出しました。

デフォルトの重要度: [Low] (低)

  • データソース:CloudTrail 管理イベント

この検出結果から、リストされた S3 バケットのために、ブロックパブリックアクセスが無効になったことを知らせるものです。有効にすると、S3 ブロックパブリックアクセス設定が使われ、バケットに適用されるポリシーまたは アクセスコントロールリスト (ACL) をフィルタリングし、データが誤って公開される安全対策となります。

通常、S3 ブロックパブリックアクセスは、バケット上で無効にされ、バケットまたはバケット内のオブジェクトへの公開アクセスを許可します。S3 ブロックパブリックアクセスがこのバケットに対して無効になっている場合、バケットに適用されるポリシーまたはそれに適用される ACL によって、バケットへのアクセスが制御されます。これは、バケットがパブリックに共有されているということではありませんが、バケットに適用されているポリシーと ACL を監査して、適切な許可が適用されていることを確認する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Policy:S3/BucketPublicAccessGranted

IAM プリンシパルは、バケットポリシーまたは ACL を変更して S3 AWS バケットへのパブリックアクセスをすべてのユーザーに許可しました。

デフォルトの重要度: [High] (高)

  • データソース:CloudTrail 管理イベント

この結果から、IAM エンティティが S3 バケットのバケットポリシーまたは ACL を変更したため、表示された S3 AWS バケットが認証されたすべてのユーザーに公開されたことがわかります。ポリシーまたは ACL の変更が検出された後に、Zelkova によって提供された自動推論を使用して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが明示的に拒否またはすべてを拒否するように設定されている場合、この検出結果はバケットの現在の状態を反映していない可能性があります。この検出結果には、S3 バケットで有効になっている可能性のある S3 ブロックパブリックアクセス設定は反映されません。このような場合、検出結果の effectivePermission 値には UNKNOWN としてマークされます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

Stealth:S3/ServerAccessLoggingDisabled

バケットのために S3 サーバーアクセスのログ記録が無効になりました。

デフォルトの重要度: [Low] (低)

  • データソース:管理イベント CloudTrail

この結果から、 AWS 環境内のバケットの S3 サーバーアクセスロギングが無効になっていることがわかります。無効にすると、特定の S3 バケットにアクセスしようとしてもウェブリクエストログは作成されませんが、バケットへの S3 管理 API コール (など) は引き続き追跡されます。DeleteBucketこのバケットで S3 データイベントロギングが有効になっている場合でも、バケット内のオブジェクトに対するウェブリクエストは引き続き追跡されます。 CloudTrail ログ記録の無効化は、許可されていないユーザーがその形跡を隠すために頻繁に使用する手法です。S3 ログの詳細については、「S3 サーバーアクセスログ」と「S3 ログオプション」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース:CloudTrail S3 のデータイベント

この検出結果は、アップロードした脅威リストに含まれたIP アドレスから S3 API オペレーション (PutObjectPutObjectAcl など) が呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース:S3 CloudTrail のデータイベント

この検出結果は、Tor 出口ノードの IP アドレスから S3 API オペレーション (PutObjectPutObjectAcl など) が呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この結果から、攻撃者の正体を隠す目的で、 AWS リソースに不正にアクセスされた可能性があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。