ランサムウェア対策ワークショップ開催報告 & Claude Mythos をテーマにしたワークショップ緊急開催のご案内

みなさん、こんにちは。ソリューションアーキテクトの田村です。

サイバー攻撃の脅威は質的に変化しています。AI の進展により高度な技術を持たない攻撃者でも大規模な攻撃を実行できるようになり、攻撃の参入障壁が大きく下がっています。サプライチェーン攻撃も急拡大しており、正規の開発プロセスそのものが攻撃経路として悪用されるケースが増えています。（参考：「サプライチェーン攻撃への防御策: Chalk/Debug 侵害と Shai-Hulud ワームの対応事例から」「最近の npm サプライチェーン攻撃への対応から AWS Security が学んだこと」）

こうした状況を受け、AWS Japan パブリックセクター技術統括本部では2026年4月よりセキュリティワークショップを月次で開催してきました。4月・5月は特に「ランサムウェア対策」をテーマとしました。ランサムウェアは侵入後に長期間潜伏し、業務データだけでなくバックアップ自体も暗号化する高度な攻撃が増加しており、多くの組織にとって喫緊の課題であるためです。第1回は脅威検知、第2回は統合セキュリティ管理にフォーカスしました。

さらに直近では、Claude Mythos に代表されるフロンティア AI モデルの登場を背景に、これを悪用したサイバー攻撃への対策が急速にクローズアップされています。金融庁は2026年5月22日に「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」を発出し金融機関に対応を要請、厚生労働省も同日に医療機関を含む重要インフラへの AI を活用したサイバー攻撃について対策強化の議論を開始しています。こうした状況を踏まえ、6月12日（金）開催予定の第3回では急遽「Claude Mythos の登場で変化する脅威への対応」をテーマとし、生成 AI 時代の脅威動向を座学で解説するとともに、ハンズオンではアプリケーションの脆弱性管理を体験いただきます。

本記事では第1回・第2回の開催レポートと、今後の取り組みについてご紹介します。

ワークショップの概要

本ワークショップは「ランサムウェア対策」を共通テーマとし、第1回と第2回で異なる AWS セキュリティサービスにフォーカスした内容となっています。講師はシニア セキュリティ ソリューションアーキテクトの中島 章博が務め、前半の座学で近年の脅威動向やセキュリティ対策の考え方を解説し、後半はハンズオン形式で実際に AWS のセキュリティサービスを体験していただきました。

ランサムウェア対策を考える上では、NIST Cybersecurity Framework（CSF）の識別・防御・検知・対応・復旧という各段階に沿って対策を整理することが有効です。

AWS にはこれらの各段階で活用できるセキュリティサービスがあります。
本ワークショップでは「検知」を担う Amazon GuardDuty と、「識別」「検知」を担う AWS Security Hub にフォーカスしました。
以下、各回の内容をご紹介します。

第1回: Amazon GuardDuty で実現する脅威検知（2026年4月10日）

Amazon GuardDuty とは

Amazon GuardDuty は、AI と ML に AWS と主要なサードパーティーが提供する統合脅威インテリジェンスを組み合わせて使用し、AWS アカウント、ワークロード、およびデータを脅威から保護します。ランサムウェア、バックドア、暗号通貨マイナー、トロイの木馬などのマルウェアを検出することもできます。

ハンズオン概要

参加者一人ひとりにワークショップ専用の AWS サンドボックス環境が払い出されます。この環境にはあらかじめ悪意のあるアクティビティを模したシナリオが構築されており、GuardDuty が実際に検出結果（Findings）を生成した状態になっています。参加者はセキュリティ担当者の立場で、攻撃（Attack）→ 検知（Detect）→ 調査・対応（Respond）の一連の流れを体験します。

ハンズオンは「基礎・設定」「脅威対応シナリオ」の2パートで構成されています。

前半の基礎・設定パートでは、GuardDuty の有効化と検出結果の読み方、自社固有の脅威 IP リストを GuardDuty に登録するカスタム脅威リストの構築、Amazon Simple Storage Service (Amazon S3) にアップロードされたマルウェアを自動検知する Malware Protection for Amazon S3、Amazon Elastic Compute Cloud (Amazon EC2) などのランタイムアクティビティを監視する Runtime Monitoring の設定、Amazon EventBridge と Amazon Simple Notification Service (Amazon SNS) を組み合わせた脅威通知の仕組みづくりを行います。

後半の脅威対応シナリオでは、ランサムウェア攻撃を模した「攻撃シーケンス検出結果への対応」がメインシナリオです。このシナリオでは、攻撃者が AWS Identity and Access Management (IAM) 認証情報を窃取し、Amazon S3 バケットのポリシーを変更してデータを流出させた後、証拠隠滅のためにログを無効化しバケットを削除する、という多段階の攻撃が再現されています。GuardDuty はこれらの個々のシグナルを相関分析し、「攻撃シーケンス」として一つの重大な検出結果にまとめます。参加者は MITRE ATT&CK の戦術マッピングを手がかりに攻撃の全体像を把握し、AWS CloudTrail で攻撃者の行動を時系列で追跡した上で、IAM 認証情報の無効化や Amazon S3 バケットポリシーの修正といった封じ込めを実践します。

このほか、侵害された Amazon S3 バケットへの対応、IAM 認証情報が流出した場合の対応、Amazon EC2 上で Runtime Monitoring が検出した不正プロセスへの対応、Amazon Elastic Block Store (Amazon EBS) ボリュームのマルウェアスキャンと対応など、実際のインシデントで遭遇する代表的なシナリオに取り組みます。

「GuardDuty をオンにしてはいるが、検出結果が出たときに何を見ればいいのかわからない」「インシデント発生時にどこから調査を始めればよいかわからない」という方にとって、実践的なインシデント対応を安全な環境で体験できる内容です。ワークショップ教材は「Amazon GuardDuty & Amazon Detective ワークショップ」として公開しています。

第2回: AWS Security Hub で実現する統合セキュリティ管理（2026年5月15日）

AWS Security Hub とは

AWS Security Hub は、お客様の重大なセキュリティ問題に優先順位を付け、規模に応じた対応を支援して環境を保護します。クラウド環境全体の可視性を一元化することで、セキュリティ運用を統合します。シグナルを相互に関連付け、実用的なインサイトへと充実させることで重大な問題を検出し、効率的な対応を可能にします。ランサムウェア対策の「予防」の観点から、自環境の弱点を事前に把握し改善しておく上で重要な役割を果たします。

ハンズオン概要

第2回のハンズオンでは、Security Hub が複数のセキュリティサービスの検出結果を相関分析して検出する「露出（Exposure）」の概念を中心に、セキュリティポスチャの改善サイクルを体験しました。

ハンズオンの前半では、Security Hub の概要と露出の仕組みを学びます。露出とは、設定ミス（Misconfiguration）、ネットワーク到達可能性（Reachability）、ソフトウェア脆弱性（Vulnerability）、機密データの存在（Sensitive Data）といった複数の特性を Security Hub が自動的に相関分析し、「このリソースは攻撃者に悪用される可能性が高い」と判断した検出結果です。参加者は実際に露出の検出結果を確認し、潜在的な攻撃パスを視覚的に把握した上で、以下のような修復作業を実践しました。

• ネットワークアクセスの制限: セキュリティグループで不要なポート（Telnet など）を閉じ、SSH アクセスを Amazon Virtual Private Cloud (Amazon VPC) 内に限定する
• ソフトウェア脆弱性へのパッチ適用: Amazon Inspector が検出した既知の CVE に対し、AWS Systems Manager Session Manager 経由でパッチを適用する
• IAM 権限の最小化: 過度に広範な権限を持つインスタンスプロファイルを特定し、IAM Access Analyzer を活用した最小権限への道筋を確認する
• 構成の改善: IMDSv2 の強制適用により、SSRF 攻撃による認証情報窃取のリスクを排除する

後半では、Security Hub の自動化ルール（検出結果に対するアクションの自動実行）、Automated Security Response ソリューションによる修復の自動化、Security Hub と Slack を連携した通知の仕組みなど、運用に直結する内容に取り組みました。

「Security Hub を有効にしたものの、大量の検出結果をどう優先順位付けすればよいかわからない」という方にとって、露出を起点に最もリスクの高い問題から対処していくアプローチを実感いただける内容です。ワークショップ教材は「Security Hub ワークショップ」として公開しています。

参加者からのフィードバック

両回とも多くの方にご参加いただき、ご好評をいただきました。

「実際に手を動かすことで理解が深まった」「自組織での活用イメージが湧いた」「普段から利用しているサービスだが、何を見ればいいのか理解できるようになった」など、日々の運用に直結する学びを得られたというフィードバックをいただきました。

まとめと今後の取り組み

本ワークショップシリーズは、皆様のご要望に応じて今後も継続的に開催予定です。次回（2026年6月12日）は「Claude Mythos 時代の脅威と対応」をテーマに、フロンティア AI の普及により変化しつつある脅威動向を座学で扱い、ハンズオンではアプリケーションセキュリティワークショップとして Amazon Inspector を用いた脆弱性管理を体験いただきます。さらに 7月2日（木）には第4回として、お客様自身がフロンティア AI を使って攻撃者より先に脆弱性を検出して対策ができる AWS Security Agent をテーマに開催予定です。ご関心ある方は担当営業にご連絡ください。

ワークショップで学んだ内容を次のアクションにつなげるために、AWS では以下のようなセキュリティ支援を提供しています。

• AWS セキュリティ成熟度モデル: 組織のセキュリティ対策の現在地を把握し、次に取り組むべき施策を明確にするフレームワークです。脅威検知やポスチャ管理が自組織ではどの段階にあるのか、確認してみてはいかがでしょうか。
• Security Health Improvement Program (SHIP): データ主導でセキュリティ改善を進めるための無償プログラムです。
• 脅威モデリングワークショップ: 設計段階からセキュリティを組み込みたい方に向けて、サンプルシステムを対象としたワークショップ形式のほか、実際のワークロードを対象とした個別支援も実施しています。

上記の支援にご興味がある方は、担当の AWS アカウントチームまでお気軽にお声がけください。

著者

田村 健祐 (Kensuke Tamura) — AWS Japan, Public Sector, Solutions Architect
梅田 昌太 (Shota Umeda) — AWS Japan, Public Sector, Sr Solutions Architect