翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
検出結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。新しく追加されたタイプや廃止されたタイプを含む、GuardDuty の検出結果タイプの重要な変更点については、「Amazon GuardDuty のドキュメント履歴」を参照してください。
GuardDuty により生成された、次の検出結果タイプは廃止されています (今後生成されません)。
重要
GuardDuty の廃止された検出結果タイプを再アクティブ化することはできません。
トピック
Exfiltration:S3/ObjectRead.Unusual
IAM エンティティが疑わしい方法で S3 API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
-
データソース: S3 CloudTrail データイベント
この検出結果は、 AWS 環境内の IAM エンティティが S3 バケットを含む API コールを実行し、そのエンティティの確立されたベースラインとは異なることを知らせるものです。このアクティビティで使用された API コールは、攻撃の抽出段階に関連付けられており、攻撃者はデータを収集しようとしています。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。
修復のレコメンデーション
関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。
Impact:S3/PermissionsModification.Unusual
IAM エンティティが API を呼び出して、1 つ以上の S3 リソースの許可を変更しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、IAM エンティティが、 AWS 環境内の 1 つ以上のバケットまたはオブジェクトの許可を変更するように設計された API コールを行っていることを知らせるものです。このアクションは、攻撃者により、アカウント外で情報を共有できるよう実行された可能性があります。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。
修復のレコメンデーション
関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。
Impact:S3/ObjectDelete.Unusual
IAM エンティティが S3 バケット内のデータを削除するために使用される API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定の IAM エンティティが、バケット自体を削除して、リストされた S3 バケット内のデータを削除するように設計された API コールを行っていることを知らせるものです。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。
修復のレコメンデーション
関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。
Discovery:S3/BucketEnumeration.Unusual
IAM エンティティが、ネットワーク内の S3 バケットを検出するために使用される S3 API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、IAM エンティティが S3 API を呼び出して、環境内の ListBuckets などの S3 バケットを検出したことを知らせるものです。このタイプのアクティビティは、攻撃者が情報を収集して AWS 、環境がより広範な攻撃の影響を受けやすいかどうかを判断する攻撃の検出段階に関連付けられています。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。
修復のレコメンデーション
関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「侵害された可能性のある S3 バケットの修復」を参照してください。
Persistence:IAMUser/NetworkPermissions
IAM エンティティが、 AWS アカウントのセキュリティグループ、ルート、および ACLs のネットワークアクセス許可を変更するのに一般的に使用される API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。
この検出結果は、ネットワーク構成設定が不審な状況下で変更された場合、例えば、プリンシパルが CreateSecurityGroup API を呼び出したが、それ以前に呼び出しの履歴がない場合などにトリガーされます。攻撃者はよく、セキュリティグループの変更を試み、さまざまなポートで特定のインバウンドトラフィックを許可させて彼らが EC2 インスタンスにアクセスする能力を向上させようとします。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Persistence:IAMUser/ResourcePermissions
プリンシパルが、 のさまざまなリソースのセキュリティアクセスポリシーを変更するために一般的に使用される API を呼び出しました AWS アカウント。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、API が呼び出され、インスタンスで作成された一時的な AWS 認証情報が使用されている場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。
この検出結果は、 AWS 環境のプリンシパルが API を呼び出したが、それ以前に呼び出した履歴PutBucketPolicyがない場合など、 AWS リソースにアタッチされたポリシーまたはアクセス許可への変更が検出されたときにトリガーされます。Amazon S3 など一部のサービスでは、リソースに対するプリンシパルアクセスを 1 つ以上付与する、リソースにアタッチされた許可をサポートします。盗まれた認証情報が使用されると、攻撃者はリソースにアタッチされたポリシーを変更し、自身にそのリソースに対する今後のアクセスを付与できます。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Persistence:IAMUser/UserPermissions
プリンシパルが、 AWS アカウントの IAM ユーザー、グループ、またはポリシーを追加、変更、または削除するために一般的に使用される API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。
この検出結果は、 AWS 環境内のプリンシパルが API を呼び出したが、それ以前に呼び出した履歴AttachUserPolicyがない場合など、環境内のユーザー関連のアクセス許可に対する不審な変更によってトリガーされます AWS 。攻撃者は、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの追加、またはアクセスキーの作成により、元のアクセスポイントが閉じられている場合であってもアカウントへのアクセスを最大化することがあります。例えば、アカウントの所有者が特定の IAM ユーザーまたはパスワードが盗まれたことに気づいてアカウントから削除したとします。ただし、不正に作成された管理者プリンシパルによって作成された他のユーザーを削除せず、攻撃者が自分の AWS アカウントにアクセスできるようにする場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
PrivilegeEscalation:IAMUser/AdministrativePermissions
プリンシパルがそれ自体に非常に寛容なポリシーを割り当てようとしました。
デフォルトの重要度: [Low] (低)*
注記
特権のエスカレーションに失敗した場合のこの検出結果の重要度は [Low] (低) で、特権のエスカレーションに成功した場合は [Medium] (中) です。
この検出結果は、 AWS 環境内の特定の IAM エンティティが特権エスカレーション攻撃を示す可能性のある動作をしていることを示しています。この検出結果は、IAM ユーザーまたはロールが許容度の高いポリシーを割り当てようとするとトリガーされます。問題となるユーザーまたはロールが管理者特権を持つことを意図しない場合は、ユーザーの認証情報が危険にさらされているか、ロールの許可が正しく設定されていない可能性があることを示します。
攻撃者は、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの追加、またはアクセスキーの作成により、元のアクセスポイントが閉じられている場合であってもアカウントへのアクセスを最大化します。アカウントの所有者が特定の IAM ユーザーのサインイン認証情報が盗まれたことに気づいてアカウントから削除したとしても、不正に作成した管理者プリンシパルによって作成された他のユーザーを削除せず、その AWS アカウントに攻撃者がアクセスすることが可能なままになっている場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Recon:IAMUser/NetworkPermissions
プリンシパルが、 AWS アカウントのセキュリティグループ、ルート、および ACLs のネットワークアクセス許可を変更するために一般的に使用される API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。
この検出結果は、 AWS
アカウントのリソース許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパルが DescribeInstances API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する可能性があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Recon:IAMUser/ResourcePermissions
プリンシパルが、 AWS アカウント内のさまざまなリソースのセキュリティアクセスポリシーを変更するために一般的に使用される API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API 呼び出しの履歴はありません。
この検出結果は、 AWS
アカウントのリソース許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパルが DescribeInstances API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する可能性があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Recon:IAMUser/UserPermissions
プリンシパルが、 AWS アカウントの IAM ユーザー、グループ、ポリシーを追加、変更、削除するために一般的に使用される API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内のユーザーアクセス許可が不審な状況で調査されたときにトリガーされます。例えば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が ListInstanceProfilesForRole API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する可能性があります。
この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、このような API コールの履歴はありません。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
ResourceConsumption:IAMUser/ComputeResources
プリンシパルが、EC2 インスタンスなどのコンピューティングリソースを起動するために一般的に使用される API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境にリストされたアカウント内の EC2 インスタンスが不審な状況下で起動された場合にトリガーされます。この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作をしていることを示しています。例えば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が RunInstances API を呼び出したが、それ以前に呼び出した履歴がない場合などです。これは、攻撃者が盗まれた認証情報を使用して、コンピューティング時間を盗難 (暗号通貨マイニングやパスワードのクラッキングなど) している可能性を示します。また、攻撃者が AWS 環境内の EC2 インスタンスとその認証情報を使用してアカウントへのアクセスを維持する兆候である可能性もあります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
Stealth:IAMUser/LoggingConfigurationModified
プリンシパルが、CloudTrail ログ記録の停止、既存のログの削除、および AWS アカウントのアクティビティのトレースの排除に一般的に使用される API を呼び出しました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、環境内でリストされた AWS
アカウントのログ記録設定が不審な状況下で変更された場合にトリガーされます。この検出結果は、 AWS 環境内の特定のプリンシパルが確立されたベースラインとは異なる動作をしていることを知らせるものです。たとえば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が StopLogging API を呼び出したが、それ以前に呼び出した履歴がない場合などです。これは、攻撃者が自身のアクティビティの痕跡を消去することで自身の行動を隠そうとしていることを示す場合があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
UnauthorizedAccess:IAMUser/ConsoleLogin
AWS アカウントのプリンシパルによる異常なコンソールログインが確認されました。
デフォルトの重要度: [Medium] (中)*
注記
この検出結果のデフォルトの重要度は [Medium] (中) です。ただし、インスタンスで作成された一時的な AWS 認証情報を使用して API が呼び出された場合、検出結果の重要度は高になります。
この検出結果は、コンソールへのログインが不審な状況下で検出された場合にトリガーされます。例えば、プリンシパルが、これまで行ったことのない ConsoleLogin API の呼び出しを、これまで使用したことのないクライアントまたは通常とは異なる場所から行った場合などです。これは、盗まれた認証情報が AWS アカウントへのアクセスに使用されているか、無効または安全性の低い方法でアカウントにアクセスする有効なユーザー (承認された VPN 経由ではないなど) を示している可能性があります。
この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作をしていることを知らせるものです。このプリンシパルには、この特定の場所からこのクライアントアプリケーションを使用してログインしたアクティビティの履歴はありません。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
UnauthorizedAccess:EC2/TorIPCaller
EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信しています。
デフォルトの重要度: [Medium] (中)
この検出結果は、 AWS 環境の EC2 インスタンスが Tor 出口ノードからインバウンド接続を受信していることを知らせるものです。Tor は匿名通信を有効化するソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは出口ノードと呼ばれます。この検出結果は、攻撃者の真のアイデンティティを隠す目的で AWS リソースへの不正アクセスを示している可能性があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された可能性のある Amazon EC2 インスタンスの修復」を参照してください。
Backdoor:EC2/XORDDOS
EC2 インスタンスが通信しようとしている IP アドレスには XOR DDoS マルウェアが関連付けられています。
デフォルトの重要度: [High] (高)
この検出結果は、 AWS 環境の EC2 インスタンスが XOR DDoS マルウェアに関連付けられている IP アドレスと通信しようとしていることを知らせるものです。この EC2 インスタンスは侵害されている可能性があります。XOR DDoS は、Linux システムをハイジャックするトロイの木馬マルウェアです。システムへのアクセスを得るため、このマルウェアは Linux 上の Secure Shell (SSH) サービスへのパスワードを発見するためのブルートフォース攻撃を開始します。SSH 認証情報を取得してログインに成功すると、ルートユーザー権限を使用して、XOR DDoS をダウンロードしてインストールするスクリプトを実行します。その後、このマルウェアはボットネットの一部として、他のターゲットに対する分散型サービス拒否 (DDoS) 攻撃を開始します。
修復のレコメンデーション
このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された可能性のある Amazon EC2 インスタンスの修復」を参照してください。
Behavior:IAMUser/InstanceLaunchUnusual
ユーザーが起動した EC2 インスタンスのタイプが通常と異なります。
デフォルトの重要度: [High] (高)
この検出結果は、 AWS 環境内の特定のユーザーが、確立されたベースラインとは異なる動作をしていることを知らせるものです。このユーザーには、このタイプの EC2 インスタンスを起動した履歴がありません。サインイン認証情報は侵害されている可能性があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
CryptoCurrency:EC2/BitcoinTool.A
EC2 インスタンスはビットコインマイニングプールと通信しています。
デフォルトの重要度: [High] (高)
この検出結果は、 AWS 環境の EC2 インスタンスが Bitcoin マイニングプールと通信していることを知らせるものです。暗号通貨マイニングの分野で、マイニングプールとはマイナー (採掘者) によるリソースの共同出資 (プール) であり、ネットワークで処理能力を共有し、ブロックの解決に貢献した度合いに応じて報酬の分配を受ける仕組みです。この EC2 インスタンスをビットコインマイニングに使用していない限り、EC2 インスタンスは侵害されている可能性があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「侵害された可能性のある Amazon EC2 インスタンスの修復」を参照してください。
UnauthorizedAccess:IAMUser/UnusualASNCaller
API が通常とは異なるネットワークの IP アドレスから呼び出されました。
デフォルトの重要度: [High] (高)
この検出結果は、特定のアクティビティが通常とは異なるネットワークの IP アドレスから呼び出されたことを知らせるものです。これは、記述されたユーザーの AWS の使用履歴全体で一度も確認されていないネットワークです。このアクティビティには、コンソールログイン、EC2 インスタンスの起動、新しい IAM ユーザーの作成、 AWS 権限の変更などが含まれます。これは、 AWS リソースへの不正アクセスを示している可能性があります。
修復のレコメンデーション
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「漏えいした可能性のある AWS 認証情報の修復」を参照してください。
