概要
2025年6月、AWS CIRT (AWS カスタマーインシデント対応チーム) が Threat Technique Catalog for AWS (以下「AWS脅威カタログ」) を公開しました。
公開情報によれば、AWS脅威カタログは、AWS CIRTが実際のカスタマーインシデントの対応を通じて蓄積した脅威アクターの攻撃手法に基づき構築、整理されています。もともとはAWS内部で利用されていましたが、蓄積した脅威情報はカスタマーにとってもセキュリティ上有用であるとのことで、2024年にはAWSがMITREと協力してMITRE ATT&CKにも一連の攻撃手法の情報が提供されるようになりました。今回公開されたAWS脅威カタログは、MITRE ATT&CKをベースとしつつ、さらにAWS固有の情報を追加、拡張する形で提供されています。
AWS脅威カタログは実際に観測された攻撃手法に基づいており、理論上の攻撃手法はスコープ外とされています。
また、AWS脅威カタログが扱う脅威は、責任共有モデルで言うところのカスタマーサイドの設定不備などにより生じる脆弱性 (“クラウドにおけるセキュリティ” 責任) による脅威が対象であり、AWS自体に存在する脆弱性 (“クラウドのセキュリティ” 責任) によるものは対象外です。
脅威例を一部紹介すると、S3に対する脅威として、データ破壊の一つである、削除権限無しでS3オブジェクトを削除する攻撃や、あるいはランサムウェア等によるS3オブジェクト暗号化攻撃など挙げられています。
AWS脅威カタログの構成
AWS脅威カタログは、トップの説明ページを除くと以下の構成になっています。どこから見ても、最終的には各攻撃手法の解説ページへとリンクされます。
- 戦術 (Tactics) と攻撃手法 (Techniques) のマトリクス
- 戦術一覧 (戦術ページからさらに詳細の各攻撃手法へリンクされています)
- 攻撃手法一覧
- AWSサービス別 攻撃手法一覧
特にAWSサービス別の攻撃手法一覧は、自分が利用しているAWSサービスにおける脅威を把握するのに適しており、AWS固有の脅威カタログ情報として真価を発揮しています。こうした観点からの情報、汎用的なMITRE ATT&CKでは得にくいものです。
各攻撃手法の解説ページでは、主に以下の情報が説明されています。概ね MITRE ATT&CK と同様です。
- 脅威の説明
- 脅威が成立する前提条件
- 検知手段 (Detection)
- 緩和策 (Mitigation)
- 外部の参考情報 (References)
さいごに
各攻撃手法を読めば、当たり前のものも多いですが、中には意識していなかったポイントが見つかるかもしれません。各ページは簡潔にまとめられているので、興味のある所をさっと読むだけでも新たな発見や再確認につながるでしょう。特にサービス別に一覧化されている点は、関心分野から情報収集するのに適していると言えます。AWS脅威カタログが、セキュアなシステム構築にきっと役立つでしょう。