Amazon EC2 インスタンスに対して GuardDuty UnauthorizedAccess ブルートフォース結果タイプアラートを取得したのはなぜですか?

最終更新日: 2020 年 8 月 11 日

Amazon GuardDuty が、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの UnauthorizedAccess:EC2/RDPBruteForce または UnauthorizedAccess:EC2/SSHBruteForce 結果タイプのアラートを検出しました。

簡単な説明

ブルートフォース攻撃は、AWS リソースへの不正アクセスを示している可能性があります。詳細については、[タイプの検索] を参照してください。

解決方法

以下の手順に従って、GuardDuty 結果タイプの説明、結果 ID、および検出機能 ID で、ブルートフォース攻撃の詳細を確認します。 

GuardDuty 結果タイプの説明を確認する

手順に従って、GuardDuty の結果を表示および分析します

結果の詳細ペインで、次のような結果タイプのタイトルを書き留めます。

「198.51.100.0 が、i-99999999 に対して RDP ブルートフォース攻撃を行っています。ブルートフォース攻撃を使って、RDP パスワードを推測しインスタンスに不正にアクセスします。」

この例では、説明に、影響を受ける Amazon EC2 インスタンス、ブルートフォース攻撃の方向、IP アドレスが表示されます。

GuardDuty 結果 ID と検出機能 ID を確認する

重要: 始める前に、AWS コマンドラインインターフェイス (AWS CLI) をインストールし、設定する必要があります。

1.    GuardDuty コンソールを開きます。

2.    ナビゲーションペインで、[Findings] をクリックします。

3.    [Finding type] で、[UnauthorizedAccess] 結果タイプを選択します。

4.    結果タイプの詳細ペインで、[Finding ID] をクリックします。

5.    [Findings JSON] で、GuardDuty の結果と検出機能 ID を書き留めます。

6.    次の AWS CLI コマンドを実行します。

注: your-detector-idyour-findings-id を GuardDuty 検出機能 ID と結果 ID に置き換えます。

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.ConnectionDirection'

次のような出力が表示されます。

[
    "INBOUND"
]

7.    次の AWS CLI コマンドを実行します。

aws guardduty get-findings --detector-id your-detector-id --finding-ids your-findings-id --query 'Findings[].Service.Action.NetworkConnectionAction.RemoteIpDetails.IpAddressV4'

次のような出力が表示されます。

[
    "198.51.100.0"
]

この例では、Amazon EC2 インスタンスのセキュリティグループは SSH/RDP トラフィックを許可し、一般公開しています。

この問題を解決するには、Amazon EC2 インスタンスへのアクセスを許可された一連の IP アドレスのみに SSH/RDP トラフィックを制限します。

SSH トラフィックを制限するには、Linux インスタンスへのインバウンド SSH トラフィックのルール追加をご参照ください。

RDP トラフィックを制限するには、Windows インスタンスへのインバウンド RDP トラフィックのルール追加をご参照ください。

詳細については、侵害された EC2 インスタンスの修正をご参照ください。