Amazon GuardDutyは３つの脅威の検出を追加しました（2019/10/16）

はじめに

本投稿は、英語とAWSの勉強のためにAWSのannouncements等を翻訳したものになります。基本的に東京リージョンに関係のあるものを翻訳したいと思いますが、興味があれば直接関係がないものもやりたいと思います。タイトルの日付はAWSの記事の公開日になります。平日は毎日１記事翻訳したいと思います。

注意事項

原文中には詳細な製品ページなどへのリンクが貼られていることが多いですが、翻訳内容にはつけていないので、知りたい方は原文をご参照ください。
また、本投稿内容で読者の方が何か不利益を被ったとしても当方は一切責任を負いませんので予めご了承の程よろしくお願いいたします。何かご指摘などありましたら、ご連絡いただければ幸いです。

翻訳元URL

https://aws.amazon.com/about-aws/whats-new/2019/10/amazon-guardduty-adds-three-new-threat-detections/

翻訳

Amazon GuardDuty introduces three new threat detections. Two of the detections are related to Amazon S3, and the third to potential EC2 instance metadata exfiltration via DNS rebinding.

Amazon GuardDutyは新しい３つの脅威の検出機能を導入しました。そのうち２つはAmazon S3に関連するもので、３つ目はDNSリバインディングによるEC2インスタンスのメタデータを抽出する潜在的な攻撃に関連するものです。

The first S3-related detection: Policy:IAMUser/S3BlockPublicAccessDisabled informs you that S3 block public access was disabled for an S3 bucket in your AWS account (or accounts if configured in a multi-account configuration). S3 block public access is used to filter the policies or ACLs applied to a bucket to prevent inadvertent exposure of data. This detection may be an indicator of a misconfiguration or malicious activity. A finding generated from this threat detection does not mean that the bucket or objects are shared publicly, but you should audit the policies and ACLs applied to the bucket to confirm that appropriate permissions are in place. The second S3 related detection: Stealth:IAMUser/S3ServerAccessLoggingDisabled informs you that a change has occurred to disable Amazon S3 server access logging for a bucket where it was previously enabled. When Amazon S3 server access logging is disabled, it may be an indicator of a misconfiguration or malicious activity and should be investigated. The severity for both of these findings is low.

最初のS3に関連した検知：「Policy:IAMUser/S3BlockPublicAccessDisabled」はあなたのアカウント（もしくはマルチアカウント設定の中で設定したアカウント）のS3ブロックパブリックアクセスが無効になったことを通知します。S3ブロックパブリックアクセスはバケットポリシーやACLでバケットのデータを意図しない公開設定してしまうことを防ぐために使われます。この検知は誤った設定や悪意のある攻撃の徴候かもしれません。この脅威による検知はバケットやオブジェクトが公開されたことを意味するわけではありませんが、パーミッションが所定のものになっているか確認するためにバケットに設定されたバケットポリシーとACLを検査すべきです。
２つ目のS3に関連した検知：「Stealth:IAMUser/S3ServerAccessLoggingDisabled」はそれまで有効になっていたバケットのアクセスログが無効になったことを通知します。S3のアクセスログが無効になったとき、これは誤った設定や悪意のある攻撃の徴候かもしれませんので、調査すべきです。この２つの検出の重要度は低です。

The third new threat detection, UnauthorizedAccess:EC2/MetaDataDNSRebind informs you that an EC2 instance in your AWS environment is querying a domain that resolves to the EC2 metadata IP address. A DNS query of this kind may indicate an attempt to conduct DNS rebinding in an effort to obtain metadata from an EC2 instance, including the IAM credentials associated with the instance. DNS rebinding makes use of vulnerabilities in an application running on the EC2 instance or human users that access the URL in a web browser running on the EC2 instance. The severity for this finding is high.

３つ目の新しい脅威の検知：「UnauthorizedAccess:EC2/MetaDataDNSRebind」はあなたのAWS環境にあるEC2インスタンスがメタデータのIPアドレスに対して名前解決をすることを検出します。この種類のDNSの問い合わせは、インスタンスに関連したIAMのクレデンシャル情報を含むメタデータをEC2インスタンスから取得しようとするDNSリバインディングを実行しようとしている兆候かもしれません。DNSリバインディングはEC2インスタンスで稼働しているアプリケーションや人がWEBブラウザでEC2インスタンス上で動いているURLにアクセスするときの脆弱性を利用しています。この検出の重要度は高です。

These new findings are available today in all Regions in which Amazon GuardDuty is available. You don’t need to take any action to start using these new finding types.

これらの新しい検出はGuardDutyが利用可能なすべてのリージョンで今日から利用可能です。これらの新しい検出タイプを利用するのに特段行うことはありません。

Available globally, Amazon GuardDuty continuously monitors for malicious or unauthorized behavior to help protect your AWS resources, including your AWS accounts and access keys. GuardDuty identifies unusual or unauthorized activity, like cryptocurrency mining or infrastructure deployments in a region that has never been used. Powered by threat intelligence and machine learning, GuardDuty is continuously evolving to help you protect your AWS environment.

グローバルで利用可能なGuardDutyは、あなたのアカウントやアクセスキーを含むAWSリソースを守るために悪意のある、もしくは無許可な挙動を継続的に監視します。GuardDutyは、暗号通貨のマイニングやこれまで使ったことのないリージョンでのインフラのデプロイなど、通常とは違うもしくは無許可な活動を識別します。脅威に対するインテリジェンスや機械学習の助けを借り、GuardDutyはあなたのAWS環境の保護を助けるため継続的に改善しています。

You can enable your 30-day free trial of Amazon GuardDuty with a single-click in the AWS Management console. Please see the AWS Regions page for all the regions where GuardDuty is available. To learn more, see Amazon GuardDuty Findings and to start your 30-day free trial, see Amazon GuardDuty Free Trial.

AWSマネジメントコンソールからワンクリックでGuardDutyを３０日無料でトライアル利用をすることができます。GuardDutyが利用可能なリージョンはリージョンページをご覧ください。より詳しい情報は、「GuardDuty Findings」をご覧いただき、３０日無料トライアルを開始ししてください。

所感

DNSリバインディングについて少し調べてみましたが、実に色々な攻撃がありますね。クラウドの隆盛に合わせクラウドに対する攻撃も色々出てきていると思います。セキュリティの世界は奥深いですね。。