GuardDuty のS3 の検出結果タイプ - Amazon GuardDuty

GuardDuty のS3 の検出結果タイプ

次の検出結果は、S3リソースに特有のもので、データソースが S3 CloudTrailデータイベントの場合、またはデータソースが CloudTrail 管理イベントAccessKey の場合、リソースタイプS3Bucket となります。検出結果の重要度と詳細は、検出結果タイプとバケットに関連付けられている許可によって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。データソースとモデルの詳細については、「Amazon GuardDuty でデータソースを使用する方法」を参照してください。

重要

S3 CloudTrail データイベントのデータソースを持つ検出結果は、GuardDuty で S3 保護を有効にしている場合のみ生成されます。2020 年 7 月 31 日よりも後に作成されたすべてのアカウントでは、S3 保護がデフォルトで有効になっています。S3 保護を有効または無効にする方法については、「Amazon GuardDuty における Amazon S3 保護」を参照してください。

すべての S3 バケットタイプの検出結果については、問題のバケットに対する許可と検出結果に関係するユーザーの許可を確認することをお勧めします。予期しないアクティビティについては、「侵害された S3 バケットの修復」に記載されている「修復レコメンデーション」を参照してください。

Discovery:S3/MaliciousIPCaller

AWS 環境のリソースを見つけるために共通に使われている S3 API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、S3 API オペレーションが既知の悪意のあるアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は通常、攻撃者が AWS 環境に関する情報を収集しているときの攻撃の発見段階に関連付けられています。例には GetObjectAcl または ListObjects が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Discovery:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、GetObjectAcl または ListObjects などの S3 API が、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせています。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Discovery:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、GetObjectAclListObjects などの S3 API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠しているという意図により、AWS リソースへの未承認のアクセスを示唆している場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Exfiltration:S3/MaliciousIPCaller

AWS 環境からデータを収集するために一般的に使用される S3 API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、S3 API オペレーションが既知の悪意のあるアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は通常、攻撃者がネットワークからデータを収集しようとしている侵入戦術に関連付けられています。例には、GetObjectCopyObject が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Exfiltration:S3/ObjectRead.Unusual

IAM エンティティが疑わしい方法で S3 API を呼び出しました。

デフォルトの重要度: [Medium] (中)*

注記

この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成される一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は [High] (高) になります。

  • データソース: S3 CloudTraildata イベント

この検出結果は、AWS 環境中の IAM エンティティは、S3 バケットを含み、そのエンティティの確立されたベースラインとは異なる API コールが実行されていることを知らせるものです。このアクティビティで使用される API コールは、攻撃の抽出段階に関連付けられており、攻撃者はデータを収集しようとしています。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Impact:S3/MaliciousIPCaller

AWS 環境中のデータまたはプロセスの改ざんに一般的に使用される S3 API は、既知の悪意のある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、S3 API オペレーションが既知の悪意のあるアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は通常、攻撃者が AWS 環境内のデータを操作、中断、または破壊しようとする影響戦術に関連付けられています。例には PutObject または PutObjectAcl が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/KaliLinux

S3 API が Kali Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、Kali Linux が実行されているマシンで AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/ParrotLinux

S3 API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、Parrot Security Linux が実行されているマシンで、AWS アカウントに属するの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/PentooLinux

S3 API が Pentoo Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、Pentoo Linux が実行されているマシンで AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Policy:S3/AccountBlockPublicAccessDisabled

IAM エンティティが、アカウント上の S3 ブロックパブリックアクセスを無効にするために使われる API を呼び出しました。

デフォルトの重要度: [Low] (低)

  • データソース CloudTrail 管理イベント

この検出結果は、Amazon S3 ブロックパブリックアクセスがアカウントレベルで無効されたことを知らせるものです。S3 ブロックパブリックアクセス設定が有効化されると、それらはデータが誤って公開されるのを防ぐためのセキュリティ対策として、バケット上でポリシー、またはアクセスコントロールリスト (ACL) をフィルタリングするために使われます。

バケット内、またはバケット内のオブジェクトへの公開アクセスを許可するために、通常、S3 ブロックパブリックアクセスは、アカウントでは無効になっています。アカウントのために S3 ブロックパブリックアクセスを無効にすると、バケットへのアクセスは、個々のバケットに適用されるポリシー、ACL、またはバケットレベルのパブリックアクセス設定によって制御されます。これは、必ずしもバケットがパブリックに共有されているということではありませんが、アクセスへの適切なレベルが提供されているのを確認するために、バケットに対して適用される許可を監査する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Policy:S3/BucketAnonymousAccessGranted

IAM プリンシパルは、バケットポリシーまたは ACL を変更することにより、インターネットへの S3 バケットへのアクセスを許可しています。

デフォルトの重要度: [High] (高)

  • データソース CloudTrail 管理イベント

この検出結果から、IAM エンティティが、そのバケット上のバケットポリシーまたは ACL を変更したため、リストされた S3 バケットがインターネット上でパブリックにアクセス可能になったことを知らせるものです。ポリシーまたは ACL の変更が検出された後に、Zelkova によって提供された自動推論を使用して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが明示的に拒否またはすべてを拒否するように設定されている場合、そのバケットに対してこの検出結果を生成することはできません。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Policy:S3/BucketBlockPublicAccessDisabled

IAM エンティティがプリンシパルがバケットの S3 ブロックパブリックアクセスを無効にする API を呼び出しました。

デフォルトの重要度: [Low] (低)

  • データソース CloudTrail 管理イベント

この検出結果から、リストされた S3 バケットのために、ブロックパブリックアクセスが無効になったことを知らせるものです。有効にすると、S3 ブロックパブリックアクセス設定が使われ、バケットに適用されるポリシーまたは アクセスコントロールリスト (ACL) をフィルタリングし、データが誤って公開される安全対策となります。

通常、S3 ブロックパブリックアクセスは、バケット上で無効にされ、バケットまたはバケット内のオブジェクトへの公開アクセスを許可します。S3 ブロックパブリックアクセスがこのバケットに対して無効になっている場合、バケットに適用されるポリシーまたはそれに適用される ACL によって、バケットへのアクセスが制御されます。これは、バケットがパブリックに共有されているということではありませんが、バケットに適用されているポリシーと ACL を監査して、適切な許可が適用されていることを確認する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Policy:S3/BucketPublicAccessGranted

バケットポリシーまたは ACL を変更することにより、IAM プリンシパルは、AWS ユーザーに対する S3 バケットへのパブリックアクセスを許可しました。

デフォルトの重要度: [High] (高)

  • データソース CloudTrail 管理イベント

この検出結果は、リストされた S3 バケットが認証されたすべての AWS ユーザーに対してパブリックに公開されたことを知らせるものです。これは、IAM エンティティが、その S3 バケットバケット上のバケットポリシーまたは ACL を変更したためです。ポリシーまたは ACL の変更が検出された後に、Zelkova によって提供された自動推論を使用して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが明示的に拒否またはすべてを拒否するように設定されている場合、そのバケットに対してこの検出結果を生成することはできません。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

Stealth:S3/ServerAccessLoggingDisabled

バケットのために S3 サーバーアクセスのログ記録が無効になりました。

デフォルトの重要度: [Low] (低)

  • データソース CloudTrail 管理イベント

この検出結果は、AWS 環境内のバケットのために、サーバーアクセスのログ記録が無効になっていることを知らせるものです。無効にした場合、識別された S3 バケットにアクセスしようとする試みに対してウェブリクエストログは作成されません。ただし、DeleteBucket などのバケットへの S3 管理 API コールは、まだ追跡されています。このバケットの CloudTrail を介して S3 データイベントログが有効になっている場合、バケット内のオブジェクトに対するウェブリクエストは引き続き追跡されます。ログ記録の無効化は、許可されていないユーザーがその形跡を隠すために頻繁に使用する手法です。S3 ログの詳細については、「S3 サーバーアクセスログ」と「S3 ログオプション」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、アップロードした脅威リストに含まれたIP アドレスから S3 API オペレーション (PutObjectPutObjectAcl など) が呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、Tor 出口ノードの IP アドレスから S3 API オペレーション (PutObjectPutObjectAcl など) が呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この検出結果は、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示唆している場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。「侵害された S3 バケットの修復」を参照してください。