実例から学ぶ GuardDuty（SSH BruteForce）調査の全体フローと勘所【SecurityJAWS】

Transcript

1. 実例から学ぶ GuardDuty (SSH BruteForce) 調査の 全体フローと勘所 株式会社サイバーセキュリティクラウド

2. © Cyber Security Cloud, Inc. 自己紹介 1 水品 亜久里 /

   Aguri Mizushina 株式会社サイバーセキュリティクラウド (CSC) セキュリティエンジニア 経歴 ▪ 情報系な学生時代：高専 → 大学 → 大学院 ▪ 2025年：新卒として、CSCへ入社 休日の過ごし方 ▪ カプセルトイを回しに行く ▪ ポケモン好き ▪ 家でゆっくり (YouTube / Netflix)

3. 世界中の人々が安心安全に使える サイバー空間を創造する 世界有数のサイバー脅威インテリジェンスとAI技術を活用し、 全世界に安心安全なサイバー空間を創造するサービスを提供します。 サイバー セキュリティ AI © Cyber Security

   Cloud, Inc. 会社紹介 2

4. 設 立 上場日 住所 事業内容 グループ会社 2010年8月11日 2020年3月26日 東京都品川区上大崎3-1-1 JR東急目黒ビル13階

   AI 技術を活用した サイバーセキュリティサービスの開発・提供 Cyber Security Cloud Inc. （USA） Cyber Security Cloud Pte. Ltd. （Singapore） 株式会社ジェネレーティブテクノロジー 株式会社DataSign © Cyber Security Cloud, Inc. 会社概要 3

5. ※1デロイト トーマツ ミック経済研究所調べ　調査概要：外部脅威対策ソリューション市場の現状と将来展望　2023年度 ※2 日本マーケティングリサーチ機構調べ　調査概要：2020年7月期_実績調査 ※3 2022年10月時点 ※4 日本マーケティングリサーチ機構調べ　調査概要：2021年8月期_実績調査 AWS

   WAF Managed Rules 外部からのサイバー攻撃を検知・遮断し、 情報漏えいやサービス停止などから Webサーバ・Webサイトを守る クラウド型Webセキュリティサービス パブリッククラウドで提供されている WAFを「ビッグデータ」の活用で 自動運用することが可能なサービス AWS Marketplaceから購入可能な 世界90ヶ国以上へ提供する AWS WAF専用のルールセット OS・アプリケーション・ネットワーク製品の 脆弱性情報を自動で収集・蓄積し 脆弱性対応の運用を効率化するツール クラウドのセキュリティリスクの可視化、 OS・ソフトウェアの脆弱性や設定ミス、 クラウド環境の脅威を収集・分析し、 包括的に管理し運 ⽤するサービス 脆弱性診断サービス 診断ツールを使った自動診断と、 専門家による手動診断の 両方を合わせたハイブリッドで 高品質な脆弱性診断サービス ※1 クラウド型WAF WAF自動運用サービス AWS WAFルールセット 脆弱性情報収集・管理ツール AWS環境フルマネージドセキュリティサービス 脆弱性確認・検証 No.1 国内シェア ※2 AWS WAF 自動運用サービス 導入ユーザー数 国内 No.1 No.1 ※3 導入ユーザー数 90カ国以上 3,000 ユーザー以上 デジタル庁 案件受注 ※4 脆弱性情報配信 サービスシェア など3部門 累計診断実績 約 2,000 　　　システム © Cyber Security Cloud, Inc. サイバーセキュリティクラウドの提供サービス 4

6. はじめに 5 話すこと • GuardDutyアラート (SSH BruteForce) • 経緯 •

   調査の流れ • 調査結果 • 推奨対応フローと調査観点 • 学び © Cyber Security Cloud, Inc. 話さないこと • 各AWSサービスの概要 • 調査内容の具体的な方法 (How) • 調査以降の対応

7. © Cyber Security Cloud, Inc. 6 GuardDuty アラート (SSH BruteForce)

8. 経緯 7 © Cyber Security Cloud, Inc. 状況 • 弊社とのご契約前にいただいた相談

   • EC2に対して、SSH BruteForce (外部から多数のログイン試行) が確認される 情報整理とヒアリング • アラート情報の確認とヒアリングを実施 • 本アラートが初回ではなく、継続した検知がされている • アクセス元IPアドレス：悪性報告あり • 対象EC2のセキュリティグループ：SSHポートで 0.0.0.0/0 からのアクセスを許可した設定 • 環境：クラウンジュエルは当該アカウントにないが、マルチAWSアカウントを運用中 → IAMやネットワーク到達性も確認 • 対象EC2には、過去に「通常とは異なる外部IPアドレスへの通信」によるアラートを検知 → 弊社側で調査する方針へ

9. 調査にあたり 8 © Cyber Security Cloud, Inc. 依頼事項 • EC2外にエクスポート設定されていれば、OSログの共有

   • もしくは、EC2のスナップショットの作成と共有 AWSによる推奨 ※抜粋 • “リソースは、リソースタイプおよび目的の分析方法と一致する方法で収集する必要があります。 ” • “Amazon EC2 インスタンスの場合、分析と調査のために大量のデータを取得および保存するため、収集する必要があるデータセットと、実行する 必要がある収集順序が決まっています。 ” 3. ディスクの取得 (EBS スナップショット) 参照：https://docs.aws.amazon.com/security-ir/latest/userguide/collect-relevant-artifacts.html 弊社 • AWSの推奨を基にしたフォレンジック環境がある • 例えば、共有されたスナップショットからEC2の 静的 / 動的 解析が可能 後ほど再度 説明します！

10. 調査結果 (1/3) 9 © Cyber Security Cloud, Inc. 弊社フォレンジック環境で、共有されたスナップショットから対象EC2内を調査 項目

    結果 ディストリビューション Amazon Linux 2023 認証ログ アクセス元IPアドレスからの不正ログインは確認されず ユーザー 不審なユーザーは確認されず 定期実行 (cron) 設定なし プロセス 「ルートユーザーのホームディレクトリ」から 「ルート権限」で実行された不審なプロセスを発見

11. 調査結果 (2/3) 10 © Cyber Security Cloud, Inc. 次第に、不審なプロセスと過去アラート「通常とは異なる外部IPアドレスへの通信」の調査へ 調査の流れ

    1. プロセスの実行ファイルのメタ情報を確認 2. 作成日が過去アラートと同日だと判明 3. 認証ログから、過去アラートのIPアドレスによるEC2ルートユーザーの公開鍵認証ログインを確認 - しかも、過去アラートと同日 4. EC2ルートユーザーの公開鍵認証によるSSH接続が可能な設定状況を確認 5. 過去アラートのIPアドレスは、複数の脅威インテリジェンスサービスで悪性報告あり 6. プロセスの実行ファイルをOSINT調査したが、該当は確認できず 7. プロセスの実行ファイルを解析する方針へ

12. 調査結果 (3/3) 11 © Cyber Security Cloud, Inc. プロセスの実行ファイルを解析 静的解析

    • 言語：Go • 確認された機能からマルウェアだといえる 動的解析 • ANY.RUN にて実施 • サンドボックス環境を検知し、 自己削除機能によって解析できず 機能 概要 永続化 EC2が再起動してもプロセスが自動的に起動 C2アドレス保存 攻撃者と通信するための接続先 IPアドレスを設定 → 過去アラートのIPアドレスが設定されていた 再接続制御 C2アドレスに対し、継続的にセッション確立を試行 自己削除 隔離された環境だと判断した場合、痕跡を削除

13. タイムライン 12 © Cyber Security Cloud, Inc. 判明した事象を時系列で整理 外部アクセスを広く許可した設定 EC2の外部IPアドレスへの通信アラート

    EC2ルートユーザーへの不正ログイン マルウェアの設置 [初回] SSH BruteForceアラート [最新] SSH BruteForceアラート 約4ヶ月

14. 結論 13 © Cyber Security Cloud, Inc. SSH BruteForce •

    調査結果から、不正ログインは成功していない可能性が高い マルウェアを副次的に発見 • 攻撃者は、EC2ルートユーザーへ不正ログインし、マルウェアを設置 • マルウェアからC2アドレスへの通信をGuardDutyが検知した 根本の問題 • セキュリティグループが緩い設定だったこと (SSHポートで 0.0.0.0/0 からのアクセスを許可) • ログの保持期間の関係で、侵入経路は特定できず • 脆弱性を利用して公開鍵を設置した？ • 秘密鍵が漏洩していた？

15. © Cyber Security Cloud, Inc. 14 まとめ

16. EC2 アーティファクト収集の推奨順序 15 © Cyber Security Cloud, Inc. 揮発性の高いデータを優先し、作業に伴うシステムへの影響を最小限にしながら収集 順序

    名称 内容 目的 1 インスタンスメタデータの取得 インスタンスID、IPアドレス、VPC、リージョン、 アタッチされたセキュリティグループ、などの記録 調査対象の誤認を防ぎ、環境を把握するた め 2 インスタンス保護とタグの有効化 終了保護の有効化、シャットダウン動作の停止、EBSの「終 了時に削除」属性の無効化、タグの付与を実施 運用者の誤操作やAuto Scalingなどによる データ消失を防ぐため 3 ディスクの取得 (EBSスナップショット) アタッチされたEBSのスナップショットを作成 作成時点のディスク状態を保全し、調査や解 析などに活用するため 4 メモリの取得 サードパーティツールを使用して、システムメモリのイメー ジを取得 シャットダウンや再起動で完全に消失 するデータを保全するため 5 ライブレスポンス/アーティファクト収集の実行 (オプション) インスタンスの稼働中にOSにログインし、デー タ (ディスク、メモリ、ログ) を直接収集する OSへのログインなしで対象データの取得が できない場合の代替手段 (非推奨) 6 インスタンスの使用停止 ロードバランサーやAuto Scalingから切り離し、 最小権限 (または権限なし) のIAMロールに変更 攻撃の継続や横展開といった被害の拡大を 防ぐため 7 インスタンスの分離または封じ込め セキュリティグループなどの設定を変更し、ネットワーク接 続を完全に遮断 攻撃者の通信を遮断し、状態を固定するた め 【再掲】参照：https://docs.aws.amazon.com/security-ir/latest/userguide/collect-relevant-artifacts.html

17. 推奨対応フローと調査観点 (1/4) 16 © Cyber Security Cloud, Inc. ※SSH BruteForceアラートを想定

    1. アラート内容の確認 - 発生日時 / 対象EC2 などの把握 - 調査観点：5Wの視点 - When … 初回発生日時 / 最終発生日時 - Where … リージョン / VPC / サブネット / 対象EC2 など - Who … アクセス元IPアドレス - What … SSH BruteForce - Why … 不正ログイン

18. 推奨対応フローと調査観点 (2/4) 17 © Cyber Security Cloud, Inc. ※SSH BruteForceアラートを想定

    2. データの保護と保全 - EC2の終了保護の有効化 / スナップショットの作成 / (可能なら) メモリダンプ など - 調査観点：データの消失防止を優先 - データが消失し、調査や解析が困難になる事態を防ぐ - 迅速かつミスのない作業が求められる - EC2 or EKS からの自動収集構成ガイダンス： https://aws.amazon.com/jp/solutions/guidance/automated-forensics-orchestrator-for-amazon-ec2-and-eks/

19. 推奨対応フローと調査観点 (3/4) 18 © Cyber Security Cloud, Inc. ※SSH BruteForceアラートを想定

    3. 対象EC2の設定確認 - パブリックIPアドレス / 認証方式 / セキュリティグループ などを確認 - 調査観点：外部からのアクセスや侵入の難易度 4. 他アラートの確認 - アカウントや対象EC2で、他アラートが 過去 / 現在 で発生していないかを確認 - 調査観点：相関分析 - 同一EC2が怪しい通信をしていないか？ - IAMの不審な挙動がないか？ - GuardDuty EC2 の検出タイプ：https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html

20. 推奨対応フローと調査観点 (4/4) 19 © Cyber Security Cloud, Inc. ※SSH BruteForceアラートを想定

    5. OS内の調査 - 認証ログ / SSH設定 / コマンド実行履歴 など - 調査観点：不正ログインの有無 - ディストリビューションによって、確認すべき認証ログが異なる - rsyslogがインストールされている場合 - Debian / Ubuntu： /var/log/auth.log - RHEL / CentOS / Amazon Linux： /var/log/secure - rsyslogがインストールされていない場合 - 全て： /var/log/journal 以下のファイル

21. © Cyber Security Cloud, Inc. 学び 20 • 発生したアラートを早期に認識し、放置しないこと •

    前提：Amazon GuardDuty / AWS Security Hub CSPM などの有効化 • 早期認識：アラートを通知する設定 • 確認：アラート内容の事実確認と調査 • VPCフローログが有効化されていれば、より多角的な調査が可能 • 今回取り上げたのは、アラート発生後の調査の話 • 侵害が確認された場合、封じ込めや影響範囲の特定などが必要になる • 侵害されたリソースの修復：https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_remediate.html • AWS推奨の封じ込め：https://docs.aws.amazon.com/security-ir/latest/userguide/containment.html

22. © Cyber Security Cloud, Inc. 21 （クラウドファスナー） のご紹介

23. © Cyber Security Cloud, Inc. CloudFastenerでAWSセキュリティを包括支援します！ 22 クラウド環境のフルマネージドセキュリティサービス 3大クラウドプラットフォーム （AWS／Azure／Google

    Cloud） のセキュリティサービスを包括的に管理し 運⽤するフルマネージドセキュリティサービス デジタル庁 （ガバメントクラウド） 案件受託 ※ CloudFastenerはAWS MSSPコンピテンシーパートナー／ AWS Security Incident Responseパートナー／ Amazon OCSF Readyパートナーに認定されています（ 2026年3月時点）

24. © Cyber Security Cloud, Inc. MSS（Managed Security Service）とは 23 自社でセキュリティを運用した場合

    MSSを利用した場合 ・高度、専門的な知識と人材が必要 ・膨大なコストと時間がかかる ・現状の対策が不安 ・包括的なセキュリティ対策が可能 ・運用の負担軽減や専門的な人員の調達からの解放 ・最新のセキュリティを反映 クラウド オンプレミス お客様環境 対処 アラート お客様担当 クラウド オンプレミス お客様環境 攻撃 お客様担当 対処 アラート MSS アラート内容の提供 アラート分析、インシデント 通知＆対応支援、 レポーティング 従業員設定ミス 攻撃 従業員設定ミス ・MSSとは、企業のセキュリティの監視・対策や運用・管理を外部にアウトソーシングするサービス ・セキュリティ専門家を採用・育成することが難しい場合や現状の対策にリスクを感じている企業に適している 何から対処すれば良いか 分からない・・・

25. © Cyber Security Cloud, Inc. マネージドセキュリティサービス「 CloudFastener」 24 ✔ 専門チームがオンライン常駐

    ✔ 専任ヒアリングによる迅速な導入 ✔ AWS/Azure/Google Cloud 対応 ✔ 業種問わず幅広く利用 ・AWSの各種セキュリティサービスを 24時間365日、包括的に管理・運用するサービス ・ベストプラクティスに沿ったセキュアな AWS環境の構築により、企業が抱えるセキュリティリスクを軽減