Author: 中島 章博

Amazon GuardDuty と AWS の自動セキュリティ監視システムが、侵害された IAM 認証情報を使用して Amazon EC2 と Amazon ECS を標的とした暗号通貨マイニングキャンペーンを検出しました。脅威アクターは初期アクセスから 10 分以内にマイナーを稼働させ、API 終了保護を有効にする新しい永続化手法を使用していました。GuardDuty 拡張脅威検出がシグナルを相関させ、クリティカルな攻撃シーケンスとして検出した経緯と、推奨される監視・修復策を解説します。

AWS Customer Incident Response Team (CIRT) が Threat Technique Catalog for AWS を公開しました。このカタログは、AWS CIRT がセキュリティ調査で観察した脅威アクターの戦術、技術、手順 (TTP) を MITRE ATT&CK フレームワークに基づいて分類したものです。AWS 環境における脅威の特定と分類に役立つ情報に加え、軽減方法や検出方法も提供しています。AWS サービスでフィルタリングして、環境のセキュリティ強化に活用できます。

AWS CLI の新しい aws login コマンドを使用すると、長期アクセスキーを作成・管理することなく、AWS マネジメントコンソールと同じサインイン方法で一時的な認証情報を取得できます。IAM 認証情報やフェデレーションサインインの両方に対応し、認証情報は 15 分ごとに自動ローテーションされます。IAM ポリシーによるアクセス制御や CloudTrail でのログ記録も可能で、デフォルトでセキュアな開発環境を実現します。

IAM アクセスキーなどの長期認証情報に依存することは、認証情報の漏洩や盗難などのリスクをもたらします。この記事では、AWS CloudShell、AWS IAM Identity Center、IDE 統合、IAM ロール、IAM Roles Anywhere など、従来 IAM アクセスキーを使用してきた 5 つの一般的なユースケースに対するより安全な代替手段を紹介します。最小権限の原則の実装方法と合わせて、AWS 環境のセキュリティポスチャを改善するためのベストプラクティスを解説します。

Landing Zone Accelerator on AWS (LZA) の最新サンプルセキュリティベースライン「Universal Configuration」と、AWS Artifact で利用可能な「LZA Compliance Workbook」を紹介します。Universal Configuration は、NIST 800-53 Rev5、CMMC、ISO-27001、HIPAA などのコンプライアンスフレームワークに対応し、セキュアなマルチアカウント AWS 環境を数時間でデプロイできます。生成 AI やエージェンティック AI ソリューションの基盤としても活用でき、規制の厳しい業界のお客様のセキュリティとコンプライアンスの取り組みを支援します。

Amazon 脅威インテリジェンスが、ロシア GRU 関連のサイバー脅威グループ Sandworm による西側重要インフラへの標的型攻撃キャンペーンを特定しました。2021 年から継続するこの攻撃では、設定ミスのあるネットワークエッジデバイスを侵害し、認証情報を窃取してオンラインサービスへのラテラルムーブメントを行う手法が用いられています。特にエネルギーセクターが標的となっており、組織はネットワークエッジデバイスの監査、認証情報リプレイ攻撃の検出、AWS 環境での適切なセキュリティ対策の実装を優先する必要があります。

AWS re:Invent 2025 で発表された AWS の AI を活用したセキュリティイノベーションを紹介します。AWS Security Agent によるプロアクティブなアプリケーション保護、Amazon GuardDuty の拡張脅威検出、AWS Security Hub のほぼリアルタイム分析など、機械学習と自動化による脅威検出の強化について解説します。また、IAM policy autopilot や Outbound identity federation といったエージェント中心の ID およびアクセス管理機能も取り上げ、多層防御によるクラウドセキュリティの進化をお伝えします。

AWS の脅威インテリジェンスチームは、React Server Components の重大な脆弱性 CVE-2025-55182 (React2Shell) が公開直後から中国国家支援型脅威グループによって活発に悪用されていることを観測しました。CVSS スコア 10.0 のこの脆弱性は、App Router を使用する React 19.x および Next.js 15.x/16.x に影響します。AWS は Sonaris アクティブディフェンスや AWS WAF マネージドルールなどの多層防御を提供していますが、お客様自身の環境で影響を受けるバージョンを実行している場合は直ちにパッチ適用が必要です。本記事では、脅威アクターの攻撃パターン、悪用技術、侵害指標、および推奨される緊急対応について詳しく説明します。

Amazon の脅威インテリジェンスチームが、Cisco Identity Service Engine と Citrix システムのゼロデイ脆弱性を悪用する高度な脅威アクターを発見しました。脅威アクターはカスタム Web シェルを使用し、システムへの認証を経ずにリモートからのコード実行を実現していました。本ブログでは、MadPot ハニーポットによる検出の経緯、カスタムマルウェアの技術的詳細、セキュリティへの影響、そして重要なインフラストラクチャを保護するための推奨事項を紹介します。

AWS re:Invent 2024 は 6 万人の現地参加者と 40 万人のオンライン参加者を迎える都市規模のイベントでした。このブログでは、物理セキュリティと論理セキュリティを統合した包括的なアプローチを紹介します。コマンドポスト (統制本部) を中心に、監視カメラ、K9 ユニット、ドローン、ワイヤレスセキュリティオペレーションセンター (WiSOC) などを活用し、参加者とデータを多層的に保護する仕組みを解説します。