Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

GuardDuty IAM 検出結果タイプ

PDF
RSS
フォーカスモード
GuardDuty IAM 検出結果タイプ - Amazon GuardDuty
CredentialAccess:IAMUser/AnomalousBehaviorDefenseEvasion:IAMUser/AnomalousBehaviorDiscovery:IAMUser/AnomalousBehaviorExfiltration:IAMUser/AnomalousBehaviorImpact:IAMUser/AnomalousBehaviorInitialAccess:IAMUser/AnomalousBehaviorPenTest:IAMUser/KaliLinuxPenTest:IAMUser/ParrotLinuxPenTest:IAMUser/PentooLinuxPersistence:IAMUser/AnomalousBehaviorPolicy:IAMUser/RootCredentialUsagePolicy:IAMUser/ShortTermRootCredentialUsagePrivilegeEscalation:IAMUser/AnomalousBehaviorRecon:IAMUser/MaliciousIPCallerRecon:IAMUser/MaliciousIPCaller.CustomRecon:IAMUser/TorIPCallerStealth:IAMUser/CloudTrailLoggingDisabledStealth:IAMUser/PasswordPolicyChangeUnauthorizedAccess:IAMUser/ConsoleLoginSuccess.BUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWSUnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWSUnauthorizedAccess:IAMUser/MaliciousIPCallerUnauthorizedAccess:IAMUser/MaliciousIPCaller.CustomUnauthorizedAccess:IAMUser/TorIPCaller

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

次の検出結果は、IAM エンティティとアクセスキーに特有であり、常に AccessKey[Resource Type] (リソースタイプ) です。検出結果の重要度と詳細は、検出結果タイプによって異なります。

ここにリストされている検出結果には、検出結果タイプの生成に使用されるデータソースとモデルが含まれます。詳細については、「GuardDuty 基本データソース」を参照してください。

すべての IAM 関連の検出結果について、問題のエンティティを検証し、その許可が最小特権のベストプラクティスに従っていることを確認することをお勧めします。このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。検出結果の修正についての詳細は、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

CredentialAccess:IAMUser/AnomalousBehavior

AWS 環境へのアクセスに使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者がユーザーの環境のパスワード、ユーザー名、およびアクセスキーを収集しようすると、攻撃の認証情報アクセスステージに一般的に関連しています。このカテゴリの API は、GetPasswordDataGetSecretValueBatchGetSecretValue、および GenerateDbAuthToken です。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

DefenseEvasion:IAMUser/AnomalousBehavior

防御対策を回避するために使用された API が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察された API は、攻撃者が自分のトラックをカバーし、検出を回避しようとしている防御回避戦術に一般的に関連しています。このカテゴリの API は通常、削除、無効化、停止オペレーションです (DeleteFlowLogsDisableAlarmActionsStopLogging など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Discovery:IAMUser/AnomalousBehavior

リソースの検出に一般的に使用される API が、異常な方法で呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者が情報を収集して AWS 、環境がより広範な攻撃の影響を受けやすいかどうかを判断する場合、攻撃の検出段階に一般的に関連します。このカテゴリの API は、get、describe、または list オペレーションです (DescribeInstancesGetRolePolicy、または ListAccessKeys など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Exfiltration:IAMUser/AnomalousBehavior

AWS 環境からデータを収集するために一般的に使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観測された API は、侵入戦術に一般的に関連していて、そこでは攻撃者がネットワークからデータを収集しようとしています。この検出結果タイプの API は管理 (コントロールプレーン)オペレーションのみであり、通常は、S3、スナップショット、およびデータベースに関連しています (PutBucketReplicationCreateSnapshotRestoreDBInstanceFromDBSnapshot など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Impact:IAMUser/AnomalousBehavior

AWS 環境内のデータまたはプロセスを改ざんするために一般的に使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者がオペレーションを中断し、ユーザーのアカウント内のデータを操作、中断、または破壊しようとするインパクト戦術に一般的に関連しています。この検出結果タイプの API は、通常、delete、update、または put オペレーションです (DeleteSecurityGroupUpdateUserPutBucketPolicy など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

InitialAccess:IAMUser/AnomalousBehavior

AWS 環境への不正アクセスを得るために一般的に使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。攻撃者がユーザーの環境へのアクセスを確立しようとすると、観察される API は、攻撃の初期アクセス段階に一般的に関連しています。このカテゴリAPIs は通常、トークンの取得、または、、 StartSessionなどのセッションオペレーションですGetAuthorizationToken

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/KaliLinux

API が Kali Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Kali Linux を実行しているマシンが、 環境のリストされた AWS アカウントに属する認証情報を使用して API コールを行っていることを知らせるものです。Kali Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。また、攻撃者はこのツールを使用して EC2 設定の弱点を見つけ、 AWS 環境への不正アクセスを取得します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/ParrotLinux

API が Parrot Security Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Parrot Security Linux を実行しているマシンが、環境内のリストされた AWS アカウントに属する認証情報を使用して API コールを行っていることを知らせるものです。Parrot Security Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。また、攻撃者はこのツールを使用して EC2 設定の弱点を見つけ、 AWS 環境への不正アクセスを取得します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

PenTest:IAMUser/PentooLinux

API が Pentoo Linux マシンから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、Pentoo Linux を実行しているマシンが、環境内のリストされた AWS アカウントに属する認証情報を使用して API コールを行っていることを知らせるものです。Pentoo Linux は、セキュリティプロフェッショナルが EC2 インスタンスの脆弱性を特定してパッチを適用するために使う一般的な侵入テストツールです。また、攻撃者はこのツールを使用して EC2 設定の弱点を見つけ、 AWS 環境への不正アクセスを取得します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Persistence:IAMUser/AnomalousBehavior

AWS 環境への不正アクセスを維持するために一般的に使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース: CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者がユーザーの環境へのアクセスを獲得し、そのアクセスを維持しようとするパーシスタンス戦術に一般的に関連しています。このカテゴリの API は、通常、create、インimport、または modify オペレーションです (CreateAccessKeyImportKeyPairModifyInstanceAttribute など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Policy:IAMUser/RootCredentialUsage

API がルートユーザーサインイン認証情報を使用して呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: CloudTrail 管理イベントまたは S3 CloudTrail データイベント

この検出結果は、ユーザーの環境のリスト化された AWS アカウント のルートユーザーサインイン認証情報が AWS サービスへのリクエストに使用されていることを知らせるものです。ユーザーは、ルートユーザーのサインイン認証情報を使用して AWS サービスにアクセスしないことをお勧めします。代わりに、 AWS Security Token Service (STS) の最小特権の一時的な認証情報を使用して AWS サービスにアクセスする必要があります。 AWS STS がサポートされていない状況では、IAM ユーザー認証情報をお勧めします。詳細については、「IAM ベストプラクティス」を参照してください。

注記

アカウントで S3 Protection が有効になっている場合、この検出結果は、 AWS アカウントのルートユーザーサインイン認証情報を使用して Amazon S3 リソースで S3 データプレーンオペレーションを実行しようとした場合に応答して生成される可能性があります。使用された API コールは、検出結果の詳細でリスト化されます。S3 Protection が有効になっていない場合、この検出結果はイベントログ API によってのみトリガーされます。S3 Protection の詳細については、「S3 Protection」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Policy:IAMUser/ShortTermRootCredentialUsage

API は、制限されたルートユーザー認証情報を使用して呼び出されました。

デフォルトの重要度: [Low] (低)

  • データソース: AWS CloudTrail S3 の管理イベントまたは AWS CloudTrail データイベント

この検出結果は、 AWS アカウント 環境にリストされている 用に作成された制限されたユーザー認証情報が、 へのリクエストに使用されていることを知らせるものです AWS のサービス。ルートユーザー認証情報は、ルートユーザー認証情報を必要とするタスクにのみ使用することをお勧めします。

可能であれば、 AWS Security Token Service () の一時的な認証情報で最小特権の IAM ロール AWS のサービス を使用して にアクセスしますAWS STS。 AWS STS がサポートされていないシナリオでは、IAM ユーザー認証情報を使用することがベストプラクティスです。詳細については、「IAM ユーザーガイド」の「IAM のセキュリティのベストプラクティス」および「 のルートユーザーのベストプラクティス AWS アカウント」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

PrivilegeEscalation:IAMUser/AnomalousBehavior

AWS 環境への高レベルのアクセス許可を取得するために一般的に使用される API が異常な方法で呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、アカウント内で異常な API リクエストが観察されたことを知らせるものです。この検出結果には、単一の API、または単一のユーザーアイデンティティで近似の一連の関連 API リクエストが含まれる場合があります。観察される API は、攻撃者が環境へのより高いレベルの許可を取得しようとする特権エスカレーション戦術に一般的に関連しています。このカテゴリの API は、通常、IAM ポリシー、ロール、ユーザーを変更するオペレーションを含みます (AssociateIamInstanceProfileAddUserToGroupPutUserPolicy など)。

この API リクエストは、GuardDuty の異常検出機械学習 (ML) モデルによって異常として識別されています。機械学習モデルは、アカウント内のすべての API リクエストを評価し、攻撃者が使用するテクニックに関連する異常なイベントを特定します。機械学習モデルは、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた特定の API など、API リクエストのさまざまな要因を追跡します。リクエストしたユーザーアイデンティティにおいて API リクエストのどの要因が異常なのかという詳細については、「検出結果の詳細 」を参照してください。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Recon:IAMUser/MaliciousIPCaller

API が悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、ユーザーの環境内のアカウントの AWS リソースをリスト化または記述できる API オペレーションが、脅威リストの IP アドレスから呼び出されたことを知らせるものです。攻撃者は、盗まれた認証情報を使用して AWS 、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、リソースのこの種の偵察を実行する場合があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Recon:IAMUser/MaliciousIPCaller.Custom

API が悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、ユーザーの環境のアカウントの AWS リソースをリスト化または説明できる API オペレーションがカスタム脅威リストの IP アドレスから呼び出されたことを知らせるものです。使用された脅威リストは、検出結果の詳細に表示されます。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Recon:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、ユーザーの環境のアカウントの AWS リソースをリスト化または説明できる API オペレーションが Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。攻撃者は真のアイデンティティを隠すために Tor を使用します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Stealth:IAMUser/CloudTrailLoggingDisabled

AWS CloudTrail ログ記録が無効になりました。

デフォルトの重要度: [Low] (低)

  • データソース CloudTrail 管理イベント

この検出結果は、 AWS 環境内の CloudTrail 証跡が無効になったことを知らせるものです。これにより、悪意ある目的でユーザーの AWS リソースへアクセスしている間、活動の痕跡を消してトラックを隠してログ記録を無効化しようとします。この検出結果は、証跡情報の削除または更新が成功することによってトリガーされる場合があります。また、この検出結果は、GuardDuty に関連付けられている証跡のログを保存する S3 バケットが削除された場合にもトリガーされます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

Stealth:IAMUser/PasswordPolicyChange

アカウントのパスワードポリシーが弱化されています。

デフォルトの重要度: [Low] (低)*

注記

この検出結果の重要度は、パスワードポリシーに加えられた変更の重要度に応じて、[Low] (低)、[Medium] (中)、[High] (高) になります。

  • データソース CloudTrail 管理イベント

AWS アカウントパスワードポリシーは、 AWS 環境内のリストされたアカウントで弱体化されました。例えば、アカウントの削除、必要な文字数を減らすような更新、記号や数字を不要とする更新、パスワードの有効期限を延長するような更新が行われています。この検出結果は、 AWS アカウントのパスワードポリシーを更新または削除しようとしてトリガーすることもできます。 AWS アカウントパスワードポリシーは、IAM ユーザーに設定できるパスワードの種類を管理するルールを定義します。パスワードポリシーが弱化されると、覚えやすいパスワードや推測しやすいパスワードの作成が可能になり、セキュリティ上のリスクが生じます。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B

世界中でコンソールに対する複数の正常なログインが確認されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、世界各地から同時に同じ IAM ユーザーによるコンソールへの複数の正常なログインが確認されたことを知らせるものです。このような異常でリスクの高いアクセス場所パターンは、 AWS リソースへの不正アクセスの可能性を示します。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS

インスタンス起動ロールを通じて EC2 インスタンス専用に作成された認証情報は、 AWS内の別のアカウントから使用されています。

デフォルトの重要度: [High] (高)*

注記

この検出結果のデフォルトの重要度は [High] (高) です。ただし、API が AWS 環境に関連付けられたアカウントによって呼び出された場合、重要度は中になります。

  • データソース: CloudTrail 管理イベントまたは S3 CloudTrail データイベント

この検出結果は、Amazon EC2 インスタンスの認証情報を使用して、関連付けられた Amazon EC2 インスタンスが実行されているアカウントとは異なる AWS アカウントが所有する IP アドレスまたは Amazon VPC エンドポイントから API を呼び出す場合に知らせるものです。VPC エンドポイント検出は、VPC エンドポイントのネットワークアクティビティイベントをサポートするサービスでのみ使用できます。VPC エンドポイントのネットワークアクティビティイベントをサポートするサービスの詳細については、「AWS CloudTrail ユーザーガイド」の「ネットワークアクティビティイベントのログ記録」を参照してください。

AWS では、一時的な認証情報を作成したエンティティ ( AWS アプリケーション、Amazon EC2、 など AWS Lambda) の外部に再配布することはお勧めしません。ただし、承認されたユーザーは Amazon EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。remoteAccountDetails.Affiliated フィールドが の場合True、API は同じ管理者アカウントに関連付けられたアカウントから呼び出されました。潜在的な攻撃を除外し、アクティビティの正当性を検証するには、これらの認証情報が割り当てられている AWS アカウント 所有者または IAM プリンシパルにお問い合わせください。

注記

GuardDuty がリモートアカウントからの継続的なアクティビティを観察した場合、その機械学習 (ML) モデルはこれを予期される動作として識別します。したがって、GuardDuty は、そのリモートアカウントからのアクティビティに関するこの検出結果の生成を停止します。GuardDuty は、他のリモートアカウントからの新しい動作に関する検出結果を生成し続け、時間の経過とともに動作が変化するにつれて、学習したリモートアカウントを再評価します。

修復のレコメンデーション

この検出結果は、Amazon EC2 インスタンスのセッション認証情報を使用して、 外の Amazon Amazon EC2 インスタンス AWS を介して 内で API リクエストが行われたときに AWS 生成されます。 AWS アカウントハブアンドスポーク設定の Transit Gateway アーキテクチャなどでは、 AWS サービスエンドポイントを持つ単一のハブエグレス VPC を介してトラフィックをルーティングするのが一般的である場合があります。この動作が予想される場合、GuardDuty では、抑制ルールを使用し、2 つのフィルター条件を使用するルールを作成することをお勧めします。1 つ目の条件は検出結果タイプで、この場合は UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.InsideAWS です。2 つ目のフィルター条件は、リモートアカウントの詳細のリモートアカウント ID です。

この検出結果に応じて、次のワークフローを使用して、一連のアクションを決定できます。

  1. service.action.awsApiCallAction.remoteAccountDetails.accountId フィールドから関係するリモートアカウントを特定します。

  2. そのアカウントが service.action.awsApiCallAction.remoteAccountDetails.affiliated フィールドから GuardDuty 環境に関連付けられているかどうかを確認します。

  3. アカウントが連携している場合は、リモートアカウントの所有者と Amazon EC2 インスタンスの認証情報の所有者に問い合わせて、調査してください。

    アカウントが提携していない場合、最初の手順として、そのアカウントが組織に関連付けられているが、GuardDuty マルチアカウント環境の設定の一部となっていないかどうか、または GuardDuty がこのアカウント内でまだ有効化されていないかどうかを評価します。次に、Amazon EC2 インスタンス認証情報の所有者に問い合わせて、リモートアカウントがこれらの認証情報を使用するユースケースがあるかどうかを判断します。

  4. 認証情報の所有者がリモートアカウントを認識しない場合は、 AWS内で動作する脅威アクターによって認証情報が侵害された可能性があります。ご利用の環境を保護するために、「侵害された可能性のある Amazon EC2 インスタンスの修復」で推奨されているステップを実行する必要があります。

    さらに、 AWS Trust and Safety チームに不正使用レポートを送信して、リモートアカウントの調査を開始できます。 AWS Trust and Safety にレポートを送信するときは、検出結果の完全な JSON 詳細を含めてください。

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS

インスタンス作成ロールで EC2 インスタンス専用に作成された認証情報が外部 IP アドレスから使用されています。

デフォルトの重要度: [High] (高)

  • データソース: CloudTrail 管理イベントまたは S3 CloudTrail データイベント

この検出結果は、 以外のホスト AWS が AWS 、環境の EC2 インスタンスで作成された一時的な AWS 認証情報を使用して AWS API オペレーションを実行しようとしたことを知らせるものです。リストされた EC2 インスタンスが侵害されている可能性があり、このインスタンスの一時的な認証情報が の外部にあるリモートホストに盗まれた可能性があります AWS。 AWS では、一時的な認証情報を作成したエンティティ ( AWS アプリケーション、EC2、Lambda など) の外部に再配布することはお勧めしません。ただし、承認されたユーザーは EC2 インスタンスから認証情報をエクスポートして正当な API コールを行うことができます。潜在的な攻撃を除外し、アクティビティの正当性を検証するには、検出結果においてリモート IP からのインスタンスの認証情報の使用が想定されるかどうかを検証します。

注記

GuardDuty がリモートアカウントからの継続的なアクティビティを観察した場合、その機械学習 (ML) モデルはこれを予期される動作として識別します。したがって、GuardDuty は、そのリモートアカウントからのアクティビティに関するこの検出結果の生成を停止します。GuardDuty は、他のリモートアカウントからの新しい動作に関する検出結果を生成し続け、時間の経過とともに動作が変化するにつれて、学習したリモートアカウントを再評価します。

修正のレコメンデーション

この検出結果が生成されるのは、VPC インターネットゲートウェイ (IGW) からではなく、オンプレミスのゲートウェイから排出され、インターネットトラフィックがルーティングされるように、ネットワークが構成されている場合です。AWS Outposts や VPC VPN 接続などの一般的な構成では、このようにトラフィックがルーティングされる可能性があります これが予期した動作である場合は、抑制ルールを使用して、2 つのフィルター条件で構成されるルールを作成することをお勧めします。1 つ目の条件では、[finding type] (結果タイプ) に UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration.OutsideAWS を使用します。2 番目のフィルター条件は、オンプレミスインターネットゲートウェイの IP アドレスまたは CIDR 範囲を持つ [API caller IPv4 Address] (API 発信者の IPv4 アドレス) です。抑制ルールの作成の詳細については、「GuardDuty の抑制ルール」を参照してください。

注記

GuardDuty が外部ソースからの継続的なアクティビティを観察した場合、その機械学習モデルは、想定されるアクティビティとしてこれを識別し、そのソースからのアクティビティの検出結果の生成を停止します。GuardDuty は、他のソースからの新しい動作に関する検出結果を引き続き生成し、学習したソースを時間の経過とともに変化する動作として再評価します。

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller

API が悪意のある既知の IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、また、 AWS 権限の変更などの試行など) が悪意のある既知の IP アドレスから呼び出されたことを知らせるものです。これは、環境内の AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom

API がカスタム脅威リストにある IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、 AWS 権限の変更など) が、アップロードした脅威リストに含まれている IP アドレスから呼び出されたことを知らせるものです。 では、脅威リストは悪意のある既知の IP アドレスで構成されます。これは、環境内の AWS リソースへの不正アクセスを示している可能性があります。

修復のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

UnauthorizedAccess:IAMUser/TorIPCaller

API が Tor 出口ノードの IP アドレスから呼び出されました。

デフォルトの重要度: [Medium] (中)

  • データソース CloudTrail 管理イベント

この検出結果は、API オペレーション (EC2 インスタンスの起動、新しい IAM ユーザーの作成、 AWS 権限の変更などの試行など) が Tor 出口ノードの IP アドレスから呼び出されたことを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。これは、攻撃者が真のアイデンティティを隠しているという意図により、 AWS リソースへの未承認のアクセスを示している場合があります。

修正のレコメンデーション

このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。

このページの内容

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.