AWS SCS-C02 対策 ログ分析によるブルートフォース攻撃の特定と対処
CloudWatch Logs Insights、メトリクスフィルター、GuardDutyを組み合わせたブルートフォース攻撃の効率的な検出と自動対処を解説。短時間での大量認証失敗パターンの分析、自動通知設定、不審インスタンスの自動遮断を実践問題で習得します。
この記事のポイント
- 1CloudWatch Logs Insightsによるブルートフォース攻撃パターンの効率的な分析方法を理解する
- 2メトリクスフィルターとアラームによる認証失敗の自動検出・通知を習得する
- 3GuardDutyを活用した不審インスタンスの自動対処メカニズムを把握する
目次
ブルートフォース攻撃の特徴と検出
ブルートフォース攻撃は、正しい認証情報を見つけるまで大量の組み合わせを自動的に試行する攻撃手法です。短時間での連続認証失敗、同一IPアドレスからの大量試行、特定アカウントへの集中攻撃といった特徴的なパターンを示します。
AWS環境では、CloudWatch Logs Insightsによる詳細なログ分析、メトリクスフィルターによる自動検出、GuardDutyによる脅威判定を組み合わせることで、効率的な検出と迅速な対処を実現できます。
短時間での大量認証失敗
1分間に5回以上、1時間で100回以上など、通常の失敗頻度を大幅に超える認証試行を検出
同一IPアドレスからの集中攻撃
単一のIPアドレスから複数のアカウントや同一アカウントに対する連続的なアクセス試行
異常な時間帯でのアクセス
通常の業務時間外や深夜帯での大量アクセス試行による不審なアクティビティ
辞書攻撃やパスワードリスト攻撃
よく使われるパスワードや漏洩したパスワードリストを使用した系統的な攻撃パターン
ログ分析による検出手法
ブルートフォース攻撃の効果的な検出には、3段階のアプローチが重要です。まずCloudWatch Logs Insightsでログパターンを詳細分析し、次にメトリクスフィルターで継続的な監視を設定し、最後にGuardDutyで脅威レベルを判定します。
CloudWatch Logs Insightsによるパターン分析
CloudWatch Logs Insightsは、複数のログソースからカスタムクエリでブルートフォース攻撃の特徴的パターンを効率的に分析できる最重要ツールです。
# 同一IPからの連続認証失敗を検出
fields @timestamp, sourceIPAddress, errorMessage
| filter @message like /login failed/
| stats count() by sourceIPAddress
| sort count desc
| limit 10
# 短時間での大量認証失敗パターン
fields @timestamp, sourceIPAddress, userIdentity.type
| filter @timestamp > dateadd(@timestamp, -1, "hour")
| filter @message like /authentication failed/
| stats count() by sourceIPAddress, bin(5m)
| sort count descこれらのクエリにより、最小限の労力で不審なログインパターンを特定できます。特に複数のログソース(EC2アプリケーションログ、Cognito認証ログ、VPC Flow Logs)を横断した分析が可能です。
リアルタイムログ検索
数百万行のログデータから数秒で特定パターンを抽出し、攻撃の進行状況をリアルタイムで把握
統計分析機能
IPアドレス別、時間別、アカウント別の集計により、攻撃の規模と傾向を定量的に分析
視覚的な結果表示
グラフやチャートでの結果表示により、攻撃パターンの傾向を直感的に理解
メトリクスフィルターによる自動検出
メトリクスフィルターは、ログストリーム内の特定パターンを自動的に検出し、CloudWatchアラームと連携してリアルタイム通知を実現します。
- •ログパターン:
[ERROR] Authentication failed for user - •フィルター名:
LoginFailureCount - •メトリクス名前空間:
Security/Authentication
- •メトリクス:
LoginFailureCount - •しきい値: 5分間で5回以上の失敗
- •通知先: Amazon SNSトピック
- •Email、SMS、Slackへの通知
- •Lambda関数トリガーによる自動対処
- •セキュリティ情報・イベント管理(SIEM)システムとの統合
この自動検出メカニズムにより、人的監視に依存することなく、24時間365日の継続的なセキュリティ監視を実現できます。
メトリクスフィルターはネイティブAWSサービス統合により最も効率的で、Lambda関数による定期実行よりもリアルタイム性と運用負荷の面で優れています。
GuardDutyによる脅威判定と自動対処
Amazon GuardDutyは、機械学習と脅威インテリジェンスを活用してSSHブルートフォース攻撃を自動検出し、EventBridgeとの連携により即座の対処を実現します。
GuardDutyによる自動脅威対処フロー
図に示すように、GuardDutyの脅威検出からEventBridgeを経由してLambda関数が実行され、セキュリティグループの変更やNetwork Firewallルールの追加により、不審なインスタンスからの通信を自動的に遮断します。
EventBridge統合によるリアルタイム対応
GuardDuty検出結果を受信後、数秒以内にLambda関数を実行して即座の脅威対処を実現
セキュリティグループの動的変更
不審なインスタンスのセキュリティグループを制限的なルールに自動変更し、SSH接続を遮断
Network Firewallとの連携
VPCレベルでのトラフィック制御により、より包括的なネットワーク保護を実現
Security Hubでの一元管理
複数のセキュリティサービスからの検出結果を統合し、包括的なセキュリティ状況を把握
これらの自動化により、人的介入なしで迅速な脅威対処を実現し、攻撃の拡散や被害の拡大を効果的に防止できます。
実践問題で確認
ここまで学んだブルートフォース攻撃の検出と対処を、実践的な問題で確認しましょう。各問題は実際の運用シナリオに基づき、効率的なログ分析と自動対処のスキルを養います。
AWS認定セキュリティ - 専門知識
練習問題
AWS認定セキュリティ - 専門知識
練習問題
AWS認定セキュリティ - 専門知識
練習問題
まとめ
ブルートフォース攻撃の効果的な検出と対処には、CloudWatch Logs Insightsによる詳細分析、メトリクスフィルターによる自動監視、GuardDutyによる脅威判定の3層アプローチが重要です。これらを組み合わせることで、最小限の労力で包括的なセキュリティ監視を実現できます。
CloudWatch Logs Insightsに
メトリクスフィルターと
GuardDutyに
これらの実装により、予防的検出、リアルタイム監視、自動対処の包括的なセキュリティ体制を構築できます。実際の資格試験では、各段階での最適なAWSサービスの選択と効率的な統合方法の理解が重要です。
理解度チェック
CloudWatch Logs Insightsでブルートフォース攻撃の特徴的パターンを検出するクエリを作成できるか?
メトリクスフィルターとアラームによる自動検出・通知の仕組みを説明できるか?
GuardDutyとEventBridge連携による不審インスタンスの自動対処メカニズムを理解しているか?
関連記事
AWS SCS-C02 対策 GuardDutyによる高度脅威検出とセキュリティ監視
GuardDutyの高度脅威検出機能と運用最適化手法を解説。サプレッションルールによる誤検出対策、Security Hub統合による中央集約監視、EventBridge連携による自動インシデント対応を実践的な問題を通じて習得し、包括的なセキュリティ監視を実現します。
記事を読む
AWS DVA-C02 対策 CloudWatch Logs サブスクリプションフィルタ vs メトリクスフィルタ
CloudWatch Logsのサブスクリプションフィルタとメトリクスフィルタの違いを理解し、ログデータの処理と監視に最適なフィルタタイプを選択するための完全ガイド。実践的な問題を通じて使い分けのポイントを解説します。
記事を読む