はじめに
AWS GuardDuty は AWS 環境の脅威を自動で検出するセキュリティサービスです。VPC フローログや DNS クエリログを分析し、不審なアクティビティを検出します。
本記事では、GuardDuty は EC2 のポートスキャンを検出できるのかについて解説します。
ポートスキャンとは?
ポートスキャン(Port Scanning)とは、攻撃者が EC2 やその他の AWS リソースの開いているポートを調査する行為です。
例えば、以下のようなポートスキャンがあります。
- 全ポートスキャン(全範囲のポートに対してスキャン)
- 特定ポートスキャン(SSH(22) や RDP(3389) など狙い撃ち)
- ランダムスキャン(ランダムなポートに断続的にアクセス)
これによって、攻撃可能なポートやサービスを特定しようとします。
GuardDuty はポートスキャンを検出できる
結論:AWS GuardDuty は EC2 に対するポートスキャンを検出できます。
GuardDuty は、VPC フローログや DNS クエリログを解析し、不審なスキャン行為を自動検知します。
検出される具体的な Findings(脅威)
GuardDuty では、ポートスキャンに関連する以下の Finding(検出結果)を出します。
| Finding 名 | 説明 |
|---|---|
Recon:EC2/PortScan |
EC2 インスタンスに対するポートスキャンを検出 |
Recon:EC2/PortProbeUnprotectedPort |
インターネットに公開されたポートに対するスキャンを検出 |
Recon:EC2/PortProbe |
攻撃者が EC2 の複数ポートをスキャンしている |
Recon:EC2/PortProbeUnprotectedPort |
特定のポート(例:22, 3389, 80)へのスキャンが発生 |
どのような場合にポートスキャンを検出するのか
GuardDuty は、次のような条件でポートスキャンを警告します。
- 短時間に複数のポートにアクセスされた場合
- 外部の IP アドレスから多数のポートへ通信が発生した場合
- 異常なトラフィックパターンを持つアクセスがあった場合
特に、SSH (22), RDP (3389), HTTP (80), HTTPS (443) などのポートへのスキャンがあるとアラートが出やすいです。
GuardDuty のポートスキャン検出を活用するには
1. GuardDuty の Findings を監視
- AWS マネジメントコンソール > GuardDuty から Findings(検出結果)を確認
- ポートスキャン関連の Finding (
Recon:EC2/PortScan) をチェック
2. SNS 通知や EventBridge を活用
GuardDuty の Findings を Amazon EventBridge に送信し、SNS や Lambda で自動対応できます。
例:
- GuardDuty が異常なポートスキャンを検出したら、Security Group を自動変更する。
- Lambda でスキャン元の IP を Deny List に登録する。
3. セキュリティグループや NACL で対策
- 必要のないポートを開放しない(最小権限の原則)
- 特定の IP アドレスのみ許可(ホワイトリスト化)
- AWS WAF や Firewall Manager で異常なアクセスをブロック
まとめ
- GuardDuty は EC2 に対するポートスキャンを検出できる
-
Recon:EC2/PortScanなどの Findings でアラートが出る - EventBridge や Security Group を組み合わせて自動対処も可能
- 不要なポートは閉じて、最小権限の原則を守る
おわりに
AWS GuardDuty を有効化することで、EC2 に対するポートスキャン攻撃をリアルタイムで検出し、迅速に対応できるようになります。
GuardDuty を有効にするだけでポートスキャンが検出されるので、まだ使っていない方はぜひ試してみてください。
参考情報: