Tag: Security Blog

AWS Security Incident Response に AI を活用した調査エージェントが追加されました。この新機能により、セキュリティイベント発生時の証拠収集と分析が自動化され、調査時間を大幅に短縮できます。調査エージェントは CloudTrail ログ、IAM 設定、EC2 インスタンス情報などを自動的に収集・相関付けし、包括的なタイムラインとサマリーを提示します。自然言語で調査内容を記述でき、必要に応じて AWS CIRT へのエスカレーションも可能です。

AWS Secrets Manager の新機能「マネージド外部シークレット」を紹介します。この機能により、Salesforce、Snowflake、BigID などのサードパーティソフトウェアの認証情報を、事前定義されたフォーマットと自動ローテーションで安全に管理できるようになりました。カスタムストレージ戦略やローテーション関数の開発が不要になり、AWS とサードパーティ両方のシークレットを単一のサービスから一元管理できます。IAM によるきめ細かなアクセス許可管理、CloudWatch と CloudTrail による監視、GuardDuty による脅威検出など、標準の Secrets Manager と同じセキュリティ機能を追加コストなしで利用できます。

AWS Security チームが npm サプライチェーン攻撃への対応から得た教訓を紹介します。Nx パッケージの侵害、Shai-Hulud ワーム、15 万件以上の悪意のあるパッケージを検出したトークンファーミングキャンペーンなど、最近の脅威への対応事例を通じて、継続的な監視、多層防御、オープンソースコミュニティとの連携の重要性を解説します。組織のセキュリティ強化に役立つ具体的な推奨事項も提供します。

Amazon 脅威インテリジェンスチームの調査により、国家支援型脅威アクターがサイバー作戦を物理的な軍事攻撃に活用する「サイバー支援キネティックターゲティング」という新たなトレンドが明らかになりました。イラン系脅威グループによる海上船舶の追跡とミサイル攻撃、エルサレムの CCTV カメラ侵害とミサイル照準調整など、具体的な事例を通じて、サイバー戦争と従来の戦争の境界線が薄れている現状を解説します。防御者が脅威モデルを拡張し、新たな防御戦略を構築する必要性についても提言します。

AWS Security Hub の新バージョンでは OCSF スキーマが採用され、旧バージョン (Security Hub CSPM) の ASFF ベースの自動化ルールを移行する必要があります。この記事では、既存の自動化ルールを自動的に検出し、OCSF スキーマに変換し、AWS CloudFormation テンプレートを生成する移行ソリューションを紹介します。ホームリージョンモードとリージョン別モードの 2 つのデプロイオプションをサポートし、ルールの順序も維持されます。

Amazon Inspector のセキュリティリサーチャーが、npm レジストリにおいて tea.xyz トークンファーミングキャンペーンに関連する 15 万件以上の悪意あるパッケージを発見しました。これはオープンソースレジストリ史上最大規模のパッケージフラッディングインシデントの 1 つです。AI とルールベースの検出を組み合わせた手法により、脅威アクターが暗号通貨報酬を得るために自動生成したパッケージを特定し、OpenSSF との迅速な連携で対応を実現しました。

AWS は IAM Policy Autopilot を発表しました。これは AI コーディングアシスタントがベースラインとなる IAM ポリシーを迅速に作成できるよう支援するオープンソースの静的解析ツールです。アプリケーションコードをローカルで解析し、AWS SDK 呼び出しに基づいてアイデンティティベースポリシーを生成します。MCP サーバーまたは CLI として利用でき、Kiro、Amazon Q Developer、Cursor などの AI コーディングアシスタントと統合可能です。クロスサービス依存関係も理解し、Access Denied エラーのトラブルシューティングも支援します。

npm パッケージの Chalk/Debug 侵害と Shai-Hulud ワームという 2 つのサプライチェーン攻撃事例を解説します。これらの攻撃は、オープンソースパッケージレジストリの信頼チェーンを悪用し、何百万ものシステムに影響を与える可能性がありました。インシデント対応の手順として、依存関係の監査、シークレットのローテーション、ビルドパイプラインの確認、Amazon Inspector による検出、SBOM の適用などを紹介します。また、AWS が OpenSSF と連携して脅威インテリジェンスを共有し、コミュニティ全体のセキュリティ向上に貢献している取り組みについても説明します。

Amazon GuardDuty と AWS の自動セキュリティ監視システムが、侵害された IAM 認証情報を使用して Amazon EC2 と Amazon ECS を標的とした暗号通貨マイニングキャンペーンを検出しました。脅威アクターは初期アクセスから 10 分以内にマイナーを稼働させ、API 終了保護を有効にする新しい永続化手法を使用していました。GuardDuty 拡張脅威検出がシグナルを相関させ、クリティカルな攻撃シーケンスとして検出した経緯と、推奨される監視・修復策を解説します。

AWS Customer Incident Response Team (CIRT) が Threat Technique Catalog for AWS を公開しました。このカタログは、AWS CIRT がセキュリティ調査で観察した脅威アクターの戦術、技術、手順 (TTP) を MITRE ATT&CK フレームワークに基づいて分類したものです。AWS 環境における脅威の特定と分類に役立つ情報に加え、軽減方法や検出方法も提供しています。AWS サービスでフィルタリングして、環境のセキュリティ強化に活用できます。