翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # 侵害された可能性のある Amazon EC2 インスタンスの修復 [Amazon EC2 リソースの侵害を示唆する検出結果タイプ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-active.html#findings-table)が生成された場合、**[リソース]** が **[インスタンス]** になります。生成されうる検出結果タイプには [EC2 の検出結果タイプ](guardduty_finding-types-ec2.md)、[GuardDuty Runtime Monitoring の検出結果タイプ](findings-runtime-monitoring.md)、[Malware Protection for EC2 の検出結果のタイプ](findings-malware-protection.md) があります。検出結果の原因となった動作が環境の想定内である場合は、[抑制ルール](findings_suppression-rule.md)の使用を検討してください。 侵害された可能性のある Amazon EC2 インスタンスを修復するには、次の手順を実行します。 1. **侵害された可能性がある Amazon EC2 インスタンスを識別する** マルウェアに侵害された可能性のあるインスタンスを調査し、検出されたマルウェアを削除します。[GuardDuty でのオンデマンドマルウェアスキャン](on-demand-malware-scan.md) を使用して、侵害された可能性のある EC2 インスタンス内のマルウェアを特定したり、[AWS Marketplace](https://aws.amazon.com/marketplace) でマルウェアを特定して削除するのに役立つパートナー製品があるかどうかを確認したりできます。 1. **侵害された可能性がある Amazon EC2 インスタンスを分離する** 可能であれば、次の手順を使用して侵害された可能性のあるインスタンスを分離します。 1. 専用の**分離**セキュリティグループを作成します。分離セキュリティグループでは、特定の IP アドレスからのインバウンドアクセスとアウトバウンドアクセスのみを許可します。`0.0.0.0/0 (0-65535)` に対するトラフィックを許可するインバウンドルールもアウトバウンドルールも存在しないことを確認してください。 1. このインスタンスに**分離**セキュリティグループを関連付けます。 1. 新規に作成した**分離**セキュリティグループを除くすべてのセキュリティグループの関連付けを侵害された可能性のあるインスタンスから削除します。 **注記** セキュリティグループが変更されても、既に追跡済みの接続が終了することはありません。今後発生するトラフィックのみが新しいセキュリティグループによって効果的にブロックされます。 疑わしい既存の接続からのトラフィックを今後ブロックする方法については、「*インシデント対応プレイブック*」の「[Enforce NACLs based on network IoCs to prevent further traffic](https://github.com/aws-samples/aws-customer-playbook-framework/blob/main/docs/Ransom_Response_EC2_Linux.md#enforce-nacls-based-on-network-iocs-to-prevent-further-traffic)」を参照してください。 1. **疑わしいアクティビティのソースを特定する** マルウェアが検出された場合は、アカウント内の検出結果のタイプに基づいて、EC2 インスタンスでの不正なアクティビティの可能性を特定して停止します。これには、開いているポートを閉じる、アクセスポリシーを変更する、脆弱性を修正するためにアプリケーションをアップグレードするなどのアクションが必要になる場合があります。 侵害された可能性のある EC2 インスタンスでの不正なアクティビティを識別して停止できない場合は、侵害された EC2 インスタンスを削除し、必要に応じて新しいインスタンスを作成することをお勧めします。EC2 インスタンスを保護するための追加リソースを次に示します。 + 「[Amazon EC2 のベストプラクティス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-best-practices.html)」の「セキュリティ」と「ネットワーク」のセクション。 + [Linux インスタンス用の Amazon EC2 セキュリティグループ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。 + [Amazon EC2 でのセキュリティ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security.html) + [EC2 インスタンスのセキュリティを確保するためのヒント (Linux)](https://aws.amazon.com/articles/tips-for-securing-your-ec2-instance/) + [AWS セキュリティのベストプラクティス](https://aws.amazon.com//architecture/security-identity-compliance/) + [AWS セキュリティインシデント対応テクニカルガイド](https://docs.aws.amazon.com/security-ir/latest/userguide/security-incident-response-guide.html)。 1. **参照 AWS re:Post** 不明な点については、「[AWS re:Post](https://repost.aws/)」を参照してください。 1. **テクニカルサポートリクエストを送信する** プレミアムサポートパッケージのサブスクライバーは、[テクニカルサポート](https://console.aws.amazon.com/support/home#/case/create?issueType=technical)をリクエストできます。