GuardDuty のS3 の検出結果タイプ - Amazon GuardDuty

GuardDuty のS3 の検出結果タイプ

次の検出結果は、Amazon S3リソースに特有のもので、データソースが S3 CloudTrail データイベントの場合、またはデータソースが CloudTrail 管理イベントや AccessKey の場合、リソースタイプS3Bucket となります。検出結果の重要度と詳細は、検出結果タイプとバケットに関連付けられている許可によって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。データソースとモデルの詳細については、「Amazon GuardDuty でデータソースを使用する方法」を参照してください。

重要

S3 CloudTrail データイベントのデータソースを持つ検出結果は、GuardDuty で S3 保護を有効にしている場合のみ生成されます。2020 年 7 月 31 日よりも後に作成されたすべてのアカウントでは、S3 保護がデフォルトで有効になっています。S3 保護を有効または無効にする方法については、「Amazon GuardDuty における Amazon S3 Protection」を参照してください。

すべての S3Bucket タイプの検出結果については、問題のバケットに対する許可と検出結果に関係するユーザーの許可を確認することをお勧めします。予期しないアクティビティについては、「侵害された S3 バケットの修復」に記載されている「修復レコメンデーション」を参照してください。

Discovery:S3/AnomalousBehavior

S3 オブジェクトの検出に一般的に使用される API が、異常な方法で呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: S3 CloudTrail データイベント

この検出結果は、IAM エンティティが S3 API を呼び出して、環境内の ListBuckets などの S3 バケットを検出したことを知らせるものです。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集します。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。たとえば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API を呼び出します。

この API は、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Discovery:S3/MaliciousIPCaller

AWS 環境のリソースを見つけるために一般的に使われている S3 API は、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は、攻撃者が AWS 環境に関する情報を収集しているときの攻撃の発見段階に一般的に関連しています。例には GetObjectAcl または ListObjects が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Discovery:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、GetObjectAcl または ListObjects などの S3 API が、アップロード済みの脅威リストに含まれている IP アドレスから呼び出されたことを知らせています。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Discovery:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、GetObjectAclListObjects などの S3 API が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。このタイプのアクティビティは攻撃の検出段階に関連しており、攻撃者は、AWS 環境がより広範な攻撃を受けやすいかどうかを判断するために情報を収集しています。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠しているという意図により、AWS リソースへの未承認のアクセスを示している場合があります。

修正のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Exfiltration:S3/AnomalousBehavior

IAM エンティティが疑わしい方法で S3 API を呼び出しました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、AWS 環境内の IAM エンティティは、S3 バケットを含んでおり、このアクティビティはそのエンティティの確立されたベースラインとは異なっていることを知らせるものです。このアクティビティで使用される API コールは、攻撃の抽出段階に関連付けられており、攻撃者はデータを収集します。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。たとえば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API を呼び出します。

この API は、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Exfiltration:S3/MaliciousIPCaller

AWS 環境からデータを収集するために一般的に使用される S3 API は、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は、攻撃者がネットワークからデータを収集しようとしている侵入戦術に一般的に関連しています。例には、GetObjectCopyObject が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Impact:S3/AnomalousBehavior.Delete

IAM エンティティが疑わしい方法でデータを削除をしようとした S3 API を呼び出しました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、AWS 環境内の IAM エンティティは、S3 バケットを含んでおり、この動作はそのエンティティの確立されたベースラインとは異なっていることを知らせるものです。このアクティビティで使用される API コールは、データを削除しようとする攻撃に関連付けられています。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。たとえば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API を呼び出します。

この API は、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、以前のオブジェクトバージョンを復元できるかどうか、または復元する必要があるかどうかを判断することをお勧めします。

Impact:S3/AnomalousBehavior.Permission

アクセスコントロールリスト (ACL) のアクセス許可を設定に一般的に使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、AWS 環境内の IAM エンティティは、リストされている S3 バケットのバケットポリシーまたは ACL を変更したことを知らせるものです。この変更により、S3 バケットが認証された AWS ユーザーすべてに公開される可能性があります。

この API は、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、オブジェクトが予期せずパブリックへのアクセスを許可されていなかったか確認することをお勧めします。

Impact:S3/AnomalousBehavior.Write

IAM エンティティが疑わしい方法でデータの書き込みをしようとした S3 API を呼び出しました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、AWS 環境内の IAM エンティティは、S3 バケットを含んでおり、この動作はそのエンティティの確立されたベースラインとは異なっていることを知らせるものです。このアクティビティで使用される API コールは、データを書き込もうとする攻撃に関連付けられています。IAM エンティティが異常な方法で API を呼び出したため、このアクティビティは疑わしいものです。たとえば、過去の履歴がない IAM エンティティが S3 API を呼び出したり、IAM エンティティが通常とは異なる場所から S3 API を呼び出します。

この API は、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API、リクエストされたバケット、および API 呼び出しの数など、API リクエストのさまざまな要因を追跡します。リクエストを呼び出したユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

S3 バケットのコンテンツを監査して、この API 呼び出しが悪意のあるデータや不正なデータを書き込んでいなかったか確認することをお勧めします。

Impact:S3/MaliciousIPCaller

AWS 環境中のデータまたはプロセスの改ざんに一般的に使用される S3 API は、悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、S3 API オペレーションが悪意のある既知のアクティビティと関連した IP アドレスから呼び出されたことを知らせるものです。観察された API は、攻撃者が AWS 環境内のデータを操作、中断、または破壊しようとする影響戦術に一般的に関連しています。例には PutObject または PutObjectAcl が含まれます。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/KaliLinux

S3 API が Kali Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、Kali Linux が実行されているマシンで AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/ParrotLinux

S3 API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、Parrot Security Linux が実行されているマシンで、AWS アカウントに属するの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

PenTest:S3/PentooLinux

S3 API が Pentoo Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: S3 CloudTrail データイベント

この検出結果は、Pentoo Linux が実行されているマシンで AWS アカウントの認証情報を使用して S3 API コールが行われていることを知らせるものです。認証情報は侵害されている可能性があります。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。このツールを攻撃者が利用して EC2 設定の脆弱性を探り出し、AWS 環境への未承認のアクセスを取得する場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Policy:S3/AccountBlockPublicAccessDisabled

IAM エンティティが、アカウント上の S3 ブロックパブリックアクセスを無効にするために使用される API を呼び出しました。

デフォルトの重要度: [Low] (低)

  • データソース CloudTrail 管理イベント

この検出結果は、Amazon S3 ブロックパブリックアクセスがアカウントレベルで無効されたことを知らせるものです。S3 ブロックパブリックアクセス設定が有効化されると、それらはデータが誤って公開されるのを防ぐためのセキュリティ対策として、バケット上でポリシー、またはアクセスコントロールリスト (ACL) をフィルタリングするために使われます。

バケット内、またはバケット内のオブジェクトへの公開アクセスを許可するために、通常、S3 ブロックパブリックアクセスは、アカウントでは無効になっています。アカウントのために S3 ブロックパブリックアクセスを無効にすると、バケットへのアクセスは、個々のバケットに適用されるポリシー、ACL、またはバケットレベルのパブリックアクセス設定によって制御されます。これは、必ずしもバケットがパブリックに共有されているということではありませんが、アクセスへの適切なレベルが提供されているのを確認するために、バケットに対して適用される許可を監査する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Policy:S3/BucketAnonymousAccessGranted

IAM プリンシパルは、バケットポリシーまたは ACL を変更することにより、インターネットへの S3 バケットへのアクセスを許可しています。

デフォルトの重要度: [High] (高)

  • データソース CloudTrail 管理イベント

この検出結果から、IAM エンティティが、そのバケット上のバケットポリシーまたは ACL を変更したため、リストされた S3 バケットがインターネット上でパブリックにアクセス可能になったことを知らせるものです。ポリシーまたは ACL の変更が検出された後に、Zelkova によって提供された自動推論を使用して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが明示的に拒否またはすべてを拒否するように設定されている場合、そのバケットに対してこの検出結果を生成することはできません。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Policy:S3/BucketBlockPublicAccessDisabled

IAM エンティティが、バケットの S3 ブロックパブリックアクセスを無効にするために使用される API を呼び出しました。

デフォルトの重要度: [Low] (低)

  • データソース CloudTrail 管理イベント

この検出結果から、リストされた S3 バケットのために、ブロックパブリックアクセスが無効になったことを知らせるものです。有効にすると、S3 ブロックパブリックアクセス設定が使われ、バケットに適用されるポリシーまたは アクセスコントロールリスト (ACL) をフィルタリングし、データが誤って公開される安全対策となります。

通常、S3 ブロックパブリックアクセスは、バケット上で無効にされ、バケットまたはバケット内のオブジェクトへの公開アクセスを許可します。S3 ブロックパブリックアクセスがこのバケットに対して無効になっている場合、バケットに適用されるポリシーまたはそれに適用される ACL によって、バケットへのアクセスが制御されます。これは、バケットがパブリックに共有されているということではありませんが、バケットに適用されているポリシーと ACL を監査して、適切な許可が適用されていることを確認する必要があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Policy:S3/BucketPublicAccessGranted

バケットポリシーまたは ACL を変更することにより、IAM プリンシパルは、AWS ユーザーに対する S3 バケットへのパブリックアクセスを許可しました。

デフォルトの重要度: [High] (高)

  • データソース CloudTrail 管理イベント

この検出結果は、リストされた S3 バケットが認証されたすべての AWS ユーザーに対してパブリックに公開されたことを知らせるものです。これは、IAM エンティティが、その S3 バケットバケット上のバケットポリシーまたは ACL を変更したためです。ポリシーまたは ACL の変更が検出された後に、Zelkova によって提供された自動推論を使用して、バケットがパブリックアクセス可能かどうかを判断します。

注記

バケットの ACL またはバケットポリシーが明示的に拒否またはすべてを拒否するように設定されている場合、そのバケットに対してこの検出結果を生成することはできません。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

Stealth:S3/ServerAccessLoggingDisabled

バケットのために S3 サーバーアクセスのログ記録が無効になりました。

デフォルトの重要度: [Low] (低)

  • データソース CloudTrail 管理イベント

この検出結果は、AWS 環境内のバケットのために、サーバーアクセスのログ記録が無効になっていることを知らせるものです。無効にした場合、識別された S3 バケットにアクセスしようとする試みに対してウェブリクエストログは作成されません。ただし、DeleteBucket などのバケットへの S3 管理 API コールは、まだ追跡されています。このバケットの CloudTrail を介して S3 データイベントログが有効になっている場合、バケット内のオブジェクトに対するウェブリクエストは引き続き追跡されます。ログ記録の無効化は、許可されていないユーザーがその形跡を隠すために頻繁に使用する手法です。S3 ログの詳細については、「S3 サーバーアクセスログ」と「S3 ログオプション」を参照してください。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/MaliciousIPCaller.Custom

S3 API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、アップロードした脅威リストに含まれたIP アドレスから S3 API オペレーション (PutObjectPutObjectAcl など) が呼び出されたことを知らせるものです。この検出結果に関連する脅威リストは、検出結果の詳細の [Additional information] (追加情報) セクションにリストされています。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。

UnauthorizedAccess:S3/TorIPCaller

S3 API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: S3 CloudTrail データイベント

この検出結果は、Tor 出口ノードの IP アドレスから S3 API オペレーション (PutObjectPutObjectAcl など) が呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この検出結果は、攻撃者が真のアイデンティティを隠して、AWS リソースへの未承認のアクセスを行っていることを示している場合があります。

修復のレコメンデーション

関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された S3 バケットの修復」を参照してください。