AWS がアクティブディフェンスを活用してお客様をセキュリティの脅威から保護する方法

本ブログは 2024 年 10 月 10 日に公開されたBlog ”How AWS uses active defense to help protect customers from security threats” を翻訳したものです。

AWS は、AWS でワークロードを実行しているお客様から信頼され、その信頼が維持されることに全力で取り組んでいます。セキュリティは常に最優先事項です。サービスの設計段階の最初からセキュリティを考慮に入れることや、潜在的な脅威を軽減するために積極的な対策を講じて、お客様が安心してビジネスに集中できるようにしています。私たちは、セキュリティ対策の強化に向けて継続的に革新し、投資を行っています。

お客様のビジネスを混乱させるセキュリティインシデントを防ぐため、潜在的な脅威に先手を打ち、お客様に害を及ぼす可能性のある活動を察知した際には迅速に保護措置を講じる必要があります。以前、当社の高度なグローバルハニーポットシステム MadPot や、大規模な内部ニューラルネットワークグラフモデル Mithra について詳細を共有しました。これらは、潜在的な脅威が実際のセキュリティ問題になるのを防ぐために、プロアクティブかつリアルタイムな対応を取るために使用している内部の脅威インテリジェンスツールの 2 つの例です。

AWS re:Inforce 2024 基調講演 で、Sonaris という別の内部の脅威インテリジェンスツールについて言及しました。Sonaris は、潜在的に有害なネットワークトラフィックを分析するアクティブディフェンス ツールで、悪用可能な脆弱性を探している脅威アクターを迅速かつ自動的に制限することができます。AWS の規模だからこそできる MadPot、Mithra、Sonaris を世界クラスのセキュリティチームが活用することで、AWS は実用的な脅威インテリジェンスを備えています。このブログでは、お客様を保護するために舞台裏で Sonaris をなぜ、どのように使用しているか、そして脅威インテリジェンスが具体的な成果を上げていることをどのように確認しているかについて説明します。

AWS のセキュリティイノベーションによる世界規模でのお客様向け脅威対策と効果測定

過去 10 年間で様々な組織がクラウドに移行するにつれ、脅威アクターは適切に保護されていない環境を悪用するために戦術を進化させてきました。2017 年、当社のセキュリティチームは、AWS カスタマーアカウントに対する不正なスキャンおよび探索の試み (デジタルの手段やツールを用いた体系的な調査) が増加していることを観察しました。これらの活動は、お客様が意図せずにパブリックアクセスを許可してしまった Amazon Simple Storage Service (Amazon S3) バケットを探していた脅威アクターによって行われていました。お客様に代わってこのセキュリティ問題に対処するため、AWS セキュリティチームは、このような疑わしいスキャン行動を検出し、悪意のある攻撃者がお客様の S3 バケットにさらに不正にアクセスしようとする行動を制限するのに役立つアクティブディフェンス機能を開発しました。

この新しいクラウド時代のセキュリティ課題に対する斬新なアプローチは、現在 Sonaris と呼ばれる脅威インテリジェンスツールへと進化しました。Sonaris は、グローバル規模で数分以内で不正なスキャンや S3 バケットの探索を特定し、自動的に制限します。Sonaris は、セキュリティルールとアルゴリズムを適用して、毎分 2,000 億件以上のイベントから異常を検出します。脅威アクターによる、設定ミスや古いソフトウェアを発見して悪用しようとする試みを防ぐことは、AWS のセキュリティ機能を飛躍的に前進させるものとなっています。

Sonaris が実行するネットワーク対策が、実際にお客様にとって効果があることをどのように確認しているのでしょうか？ Sonaris の保護がある場合とない場合で、MadPot センサー間で脅威活動を比較してみましょう。これを行うために、MadPot を使用して 2 つの別個の大規模なハニーポットテストグループの群を構築し、各セキュリティ構成の統計を比較します。 1 つのグループは Sonaris の分析によって供給されるネットワーク境界のセキュリティ制御によって保護され、もう 1 つの群は保護を受けません。これにより、AWS ネットワーク境界内のホストに対する保護の効果を測定することができます。

AWS インフラストラクチャのセキュリティを向上させるために舞台裏で行われている継続的な取り組みは、これらの分割テストグループからの調査結果から、Sonaris が膨大な量の潜在的な脅威の阻止に成功しているが確認されています。例えば、MadPot が分類した数百種類の悪意のある活動の中で、Sonaris は 2024 年 9 月に悪用の試みが 83%減少したことを観測しました。過去 12 か月間で、Sonaris は意図せずに公開状態になった S3 バケットを見つけようとする 270 億回以上の試みを拒否し、Amazon Elastic Compute Cloud (Amazon EC2) 上の脆弱なサービスを発見しようとする 2.7 兆回の試みを防止しました。これらの保護措置により、AWS のお客様のリスクは大幅に軽減されています。

Sonaris による不正なスキャンと攻撃試行の検出と制限

Sonaris は、AWS インフラストラクチャとサービスを標的とする特定の不審な行動を検出し、制限することで、AWS とお客様のセキュリティ確保に重要な役割を果たしています。その機能は、AWS 全体のネットワークテレメトリーソースと、Amazon の脅威インテリジェンスデータの両方を統合して構築されています。Sonaris の特徴は、AWS のネットワークテレメトリーと AWS の脅威インテリジェンスを統合し、無差別スキャンを抑制するための安全で効果的な脅威緩和を提供することです。

Sonaris は、サービスの運用に使用している要約された大量のメタデータとサービスヘルステレメトリに対して、ヒューリスティック、統計、機械学習アルゴリズムを適用します。Sonaris が使用する脅威インテリジェンスのソースの 1 つに MadPot があります。MadPot は毎日数万の IP アドレスでトラフィックを受信します。MadPot は数百の異なるサービスをエミュレートし、カスタマーアカウントを模倣し、これらのやりとりを既知の共通脆弱性識別子 (CVE) やその他の脆弱性に分類します。MadPot を通じて、Sonaris は脅威アクターの活動をより正確に特定するのに役立つ、追加の高精度シグナルを統合することもできます。MadPot から収集された自社の脅威インテリジェンスにより、Sonaris は既知の悪意のある脆弱性列挙攻撃を自動的に制限する際の確実性と正確性を向上させ、お客様を自動的に保護します。

Sonaris が AWS の IP アドレスやカスタマーアカウントに対する悪意のあるスキャン試行を検出すると、AWS Shield、Amazon Virtual Private Cloud (Amazon VPC)、Amazon S3、AWS WAF で自動保護をトリガーし、リアルタイムでお客様のリソースを不正な活動から自動的に保護します。Sonaris は制限する活動について慎重に判断し、そのやりとりが悪意のあるものだという十分な確信がある場合にのみ介入します。例えば、正当なお客様のやりとりが制限されないようにするため、AWS サービスにおける正常な動作がどのようなものかを識別する動的なガードレールモデルを開発しました。これにより、疑わしい活動のみが検出され、対処されます。私たちは、正当なお客様の活動に対して誤った対応を避けるため、最新の観測データを用いてこれらのガードレールモデルを常に更新し、リフレッシュしています。

Sonaris はダイナミックな脅威に対して現実世界で大規模な効果を発揮

2023 年から 2024 年にかけて、Dota3 として知られる大規模で活発なボットネットが、暗号資産 (仮想通貨) マイニングマルウェア（被害者のコンピューターやデバイスのリソースを密かに利用する悪意のあるソフトウェア）をインストールするため、脆弱なホストやデバイスをインターネット上でスキャンしていました。Sonaris は、ボットネットの運営者が新たな防御回避手法を試みる中でも、お客様を効果的に保護し続けてきました。2024 年第 3 四半期、このボットネットのスキャン動作に変化が見られ、次の図に示すように、異なるペイロード、レート、エンドポイントを使用し始めたことを観察しました。Sonaris の多層的な検出方法のおかげで、このボットネットは自動検出を回避することができませんでした。Sonaris は 1 時間あたり 16,000 以上の悪意のあるスキャンエンドポイントからお客様を自動的に保護しました。

図1: Dota3 ボットネットの活動が 2024 年 9 月に突然変化

AWS によるインターネットの安全性向上への取り組み

Sonaris はリスクを軽減しますが、完全に排除するわけではなく、私たちの取り組みはまだ終わっていません。AWS は、セキュリティ対策を進化させ強化し続けながら、インターネットをより安全な場所にすることに尽力しています。これにより、お客様は複雑化するデジタル環境において、強固なセキュリティ態勢を維持しつつ、成長することができます。Sonaris のような能動的なセキュリティツールの開発と、お客様による セキュリティのベストプラクティス の注意深い適用を通じて、私たちは共に、より安全なクラウド環境を作り出すことができるのです。

お客様からのフィードバックは私たちにとって極めて重要です。コメントの投稿、カスタマーサポートチームへのお問い合わせ、またはご希望のチャネルを通じてのご連絡をお願いいたします。みなさまと共に、クラウドセキュリティの未来を形作り、新たな脅威に先駆けて対応してまいります。

このブログに関する質問がある場合は、AWS サポートにお問い合わせください。