翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 廃止された検出結果タイプ
検出結果は、GuardDuty で検出した潜在的なセキュリティ問題に関する詳細を含む通知です。新しく追加されたタイプや廃止されたタイプを含む、GuardDuty の検出結果タイプの重要な変更点については、「[Amazon GuardDuty のドキュメント履歴](doc-history.md)」を参照してください。
GuardDuty により生成された、次の検出結果タイプは廃止されています (今後生成されません)。
**重要**
GuardDuty の廃止された検出結果タイプを再アクティブ化することはできません。
**Topics**
+ [Exfiltration:S3/ObjectRead.Unusual](#exfiltration-s3-objectreadunusual)
+ [Impact:S3/PermissionsModification.Unusual](#impact-s3-permissionsmodificationunusual)
+ [Impact:S3/ObjectDelete.Unusual](#impact-s3-objectdeleteunusual)
+ [Discovery:S3/BucketEnumeration.Unusual](#discovery-s3-bucketenumerationunusual)
+ [Persistence:IAMUser/NetworkPermissions](#persistence-iam-networkpermissions)
+ [Persistence:IAMUser/ResourcePermissions](#persistence-iam-resourcepermissions)
+ [Persistence:IAMUser/UserPermissions](#persistence-iam-userpermissions)
+ [PrivilegeEscalation:IAMUser/AdministrativePermissions](#privilegeescalation-iam-administrativepermissions)
+ [Recon:IAMUser/NetworkPermissions](#recon-iam-networkpermissions)
+ [Recon:IAMUser/ResourcePermissions](#recon-iam-resourcepermissions)
+ [Recon:IAMUser/UserPermissions](#recon-iam-userpermissions)
+ [ResourceConsumption:IAMUser/ComputeResources](#resourceconsumption-iam-computeresources)
+ [Stealth:IAMUser/LoggingConfigurationModified](#stealth-iam-loggingconfigurationmodified)
+ [UnauthorizedAccess:IAMUser/ConsoleLogin](#unauthorizedaccess-iam-consolelogin)
+ [UnauthorizedAccess:EC2/TorIPCaller](#unauthorizedaccess-ec2-toripcaller)
+ [Backdoor:EC2/XORDDOS](#backdoor2)
+ [Behavior:IAMUser/InstanceLaunchUnusual](#behavior1)
+ [CryptoCurrency:EC2/BitcoinTool.A](#crypto1)
+ [UnauthorizedAccess:IAMUser/UnusualASNCaller](#unauthorized6)
## Exfiltration:S3/ObjectRead.Unusual
### IAM エンティティが疑わしい方法で S3 API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
+ **データソース:** S3 CloudTrail データイベント
この検出結果は、 AWS 環境内の IAM エンティティが S3 バケットを含む API コールを行い、そのエンティティの確立されたベースラインとは異なることを知らせるものです。このアクティビティで使用された API コールは、攻撃の抽出段階に関連付けられており、攻撃者はデータを収集しようとしています。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。
**修復のレコメンデーション**
関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「[侵害された可能性のある S3 バケットの修復](compromised-s3.md)」を参照してください。
## Impact:S3/PermissionsModification.Unusual
### IAM エンティティが API を呼び出して、1 つ以上の S3 リソースの許可を変更しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、IAM エンティティが、 AWS 環境内の 1 つ以上のバケットまたはオブジェクトの許可を変更するように設計された API コールを行っていることを知らせるものです。このアクションは、攻撃者により、アカウント外で情報を共有できるよう実行された可能性があります。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。
**修復のレコメンデーション**
関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「[侵害された可能性のある S3 バケットの修復](compromised-s3.md)」を参照してください。
## Impact:S3/ObjectDelete.Unusual
### IAM エンティティが S3 バケット内のデータを削除するために使用される API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定の IAM エンティティが、バケット自体を削除して、リストされた S3 バケット内のデータを削除するように設計された API コールを行っていることを知らせるものです。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。
**修復のレコメンデーション**
関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「[侵害された可能性のある S3 バケットの修復](compromised-s3.md)」を参照してください。
## Discovery:S3/BucketEnumeration.Unusual
### IAM エンティティが、ネットワーク内の S3 バケットを検出するために使用される S3 API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、IAM エンティティが S3 API を呼び出して、環境内の `ListBuckets` などの S3 バケットを検出したことを知らせるものです。このタイプのアクティビティは、攻撃者が情報を収集して AWS 、環境がより広範な攻撃の影響を受けやすいかどうかを判断する攻撃の検出段階に関連付けられています。IAM エンティティが API を呼び出した方法が異常だったため、このアクティビティは疑わしいものです。例えば、この IAM エンティティに以前このタイプの API を呼び出した履歴がない場合や、API が異常な場所から呼び出された場合などです。
**修復のレコメンデーション**
関連付けられたプリンシパルに対してこのアクティビティが予期せぬ場合は、認証情報が公開されているか、S3 許可が十分に制限されていないことを示している可能性があります。詳細については、「[侵害された可能性のある S3 バケットの修復](compromised-s3.md)」を参照してください。
## Persistence:IAMUser/NetworkPermissions
### IAM エンティティが、 AWS アカウントのセキュリティグループ、ルート、および ACLs のネットワークアクセス許可を変更するのに一般的に使用される API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API を呼び出した履歴はありません。
この検出結果は、ネットワーク構成設定が不審な状況下で変更された場合、例えば、プリンシパルが `CreateSecurityGroup` API を呼び出したが、それ以前に呼び出しの履歴がない場合などにトリガーされます。攻撃者はよく、セキュリティグループの変更を試み、さまざまなポートで特定のインバウンドトラフィックを許可させて彼らが EC2 インスタンスにアクセスする能力を向上させようとします。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## Persistence:IAMUser/ResourcePermissions
### プリンシパルは、 のさまざまなリソースのセキュリティアクセスポリシーを変更するために一般的に使用される API を呼び出しました AWS アカウント。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API が呼び出され、インスタンスで作成された一時的な AWS 認証情報が使用されている場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API を呼び出した履歴はありません。
この検出結果は、 AWS 環境内のプリンシパルが API を呼び出したが、それの履歴`PutBucketPolicy`がない場合など、 AWS リソースにアタッチされたポリシーまたはアクセス許可への変更が検出されたときにトリガーされます。Amazon S3 など一部のサービスでは、リソースに対するプリンシパルアクセスを 1 つ以上付与する、リソースにアタッチされた許可をサポートします。盗まれた認証情報が使用されると、攻撃者はリソースにアタッチされたポリシーを変更し、自身にそのリソースに対する今後のアクセスを付与できます。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## Persistence:IAMUser/UserPermissions
### プリンシパルは、 AWS アカウントの IAM ユーザー、グループ、またはポリシーを追加、変更、または削除するために一般的に使用される API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API を呼び出した履歴はありません。
この検出結果は、 AWS 環境内のプリンシパルが API を呼び出した履歴`AttachUserPolicy`がない場合など、環境内の AWS ユーザー関連のアクセス許可に対する不審な変更によってトリガーされます。攻撃者は、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの追加、またはアクセスキーの作成により、元のアクセスポイントが閉じられている場合であってもアカウントへのアクセスを最大化することがあります。例えば、アカウントの所有者が特定の IAM ユーザーまたはパスワードが盗まれたことに気づいてアカウントから削除したとします。ただし、不正に作成された管理者プリンシパルによって作成された他のユーザーを削除せず、その AWS アカウントを攻撃者がアクセスできるままにする場合があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## PrivilegeEscalation:IAMUser/AdministrativePermissions
### プリンシパルがそれ自体に非常に寛容なポリシーを割り当てようとしました。
**デフォルトの重大度: [Low] (低)**\$1
**注記**
特権のエスカレーションに失敗した場合のこの検出結果の重大度は [Low] (低) で、特権のエスカレーションに成功した場合は [Medium] (中) です。
この検出結果は、 AWS 環境内の特定の IAM エンティティが特権エスカレーション攻撃を示す可能性のある動作を示していることを示しています。この検出結果は、IAM ユーザーまたはロールが許容度の高いポリシーを割り当てようとするとトリガーされます。問題となるユーザーまたはロールが管理者特権を持つことを意図しない場合は、ユーザーの認証情報が危険にさらされているか、ロールの許可が正しく設定されていない可能性があることを示します。
攻撃者は、盗まれた認証情報を使用して、新規ユーザーの作成、既存ユーザーに対するアクセスポリシーの追加、またはアクセスキーの作成により、元のアクセスポイントが閉じられている場合であってもアカウントへのアクセスを最大化します。アカウントの所有者が特定の IAM ユーザーのサインイン認証情報が盗まれたことに気づいてアカウントから削除したとしても、不正に作成した管理者プリンシパルによって作成された他のユーザーを削除せず、その AWS アカウントに攻撃者がアクセスすることが可能なままになっている場合があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## Recon:IAMUser/NetworkPermissions
### プリンシパルは、 AWS アカウントのセキュリティグループ、ルート、および ACLs のネットワークアクセス許可を変更するのに一般的に使用される API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API を呼び出した履歴はありません。
この検出結果は、 AWS アカウントのリソース許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパルが `DescribeInstances` API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する可能性があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## Recon:IAMUser/ResourcePermissions
### プリンシパルは、 AWS アカウント内のさまざまなリソースのセキュリティアクセスポリシーを変更するために一般的に使用される API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内の特定のプリンシパル (AWS アカウントのルートユーザー、IAM ロール、またはユーザー) が、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この API を呼び出した履歴はありません。
この検出結果は、 AWS アカウントのリソース許可が不審な状況下で調査された場合にトリガーされます。例えば、プリンシパルが `DescribeInstances` API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する可能性があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## Recon:IAMUser/UserPermissions
### プリンシパルは、 AWS アカウントの IAM ユーザー、グループ、またはポリシーを追加、変更、または削除するために一般的に使用される API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境内のユーザーアクセス許可が疑わしい状況で調査されたときにトリガーされます。例えば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が `ListInstanceProfilesForRole` API を呼び出したが、それ以前に呼び出しの履歴がない場合です。攻撃者は、盗まれた認証情報を使用して、より貴重な認証情報を見つけたり、既に持っている認証情報の機能を特定したりするために、 AWS リソースのこの種の偵察を実行する可能性があります。
この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作をしていることを示しています。このプリンシパルには、この方法でこの API を呼び出した履歴はありません。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## ResourceConsumption:IAMUser/ComputeResources
### プリンシパルが、EC2 インスタンスなどのコンピューティングリソースを起動するために一般的に使用される API を呼び出しました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、 AWS 環境にリストされたアカウント内の EC2 インスタンスが不審な状況下で起動された場合にトリガーされます。この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作をしていることを示しています。たとえば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が `RunInstances` API を呼び出したが、それの履歴がない場合などです。これは、攻撃者が盗まれた認証情報を使用してコンピューティング時間を盗んでいることを示している可能性があります (暗号通貨のマイニングやパスワードのクラッキングなど)。また、攻撃者が AWS 環境内の EC2 インスタンスとその認証情報を使用してアカウントへのアクセスを維持する兆候である可能性もあります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## Stealth:IAMUser/LoggingConfigurationModified
### プリンシパルは、CloudTrail のログ記録の停止、既存のログの削除、アカウントのアクティビティのトレースの排除に一般的に使用される API を呼び出しました AWS 。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、環境内でリストされた AWS アカウントのログ記録設定が不審な状況下で変更された場合にトリガーされます。この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作をしていることを知らせるものです。たとえば、プリンシパル (AWS アカウントのルートユーザー、IAM ロール、または IAM ユーザー) が `StopLogging` API を呼び出したが、それの履歴がない場合などです。これは、攻撃者がアクティビティのトレースを削除してトラックをカバーしようとしていることを示している可能性があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## UnauthorizedAccess:IAMUser/ConsoleLogin
### AWS アカウントのプリンシパルによる異常なコンソールログインが確認されました。
**デフォルトの重大度: [Medium] (中)**\$1
**注記**
この検出結果のデフォルトの重大度は [Medium] (中) です。ただし、API がインスタンスで作成された一時的な AWS 認証情報を使用して呼び出された場合、検出結果の重要度は高になります。
この検出結果は、コンソールへのログインが不審な状況下で検出された場合にトリガーされます。例えば、プリンシパルが、これまで行ったことのない ConsoleLogin API の呼び出しを、これまで使用したことのないクライアントまたは通常とは異なる場所から行った場合などです。これは、盗まれた認証情報が AWS アカウントへのアクセスに使用されていること、または無効または安全性の低い方法でアカウントにアクセスする有効なユーザー (承認された VPN 経由ではないなど) を示している可能性があります。
この検出結果は、 AWS 環境内の特定のプリンシパルが、確立されたベースラインとは異なる動作をしていることを知らせるものです。このプリンシパルには、この特定の場所からこのクライアントアプリケーションを使用したログインアクティビティの履歴はありません。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## UnauthorizedAccess:EC2/TorIPCaller
### EC2 インスタンスが Tor 出口ノードからのインバウンド接続を受信しています。
**デフォルトの重大度: [Medium] (中**
この検出結果は、 AWS 環境の EC2 インスタンスが Tor 終了ノードからインバウンド接続を受信していることを知らせるものです。Tor は、匿名通信を有効にするためのソフトウェアです。通信を暗号化し、一連のネットワークノード間のリレー中にランダムに通信をバウンスさせます。最後の Tor ノードは終了ノードと呼ばれます。この検出結果は、攻撃者の真のアイデンティティを隠す目的で AWS 、リソースへの不正アクセスを示している可能性があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「[侵害された可能性のある Amazon EC2 インスタンスの修復](compromised-ec2.md)」を参照してください。
## Backdoor:EC2/XORDDOS
### EC2 インスタンスが通信しようとしている IP アドレスには XOR DDoS マルウェアが関連付けられています。
**デフォルトの重大度: [High] (高**
この検出結果は、 AWS 環境の EC2 インスタンスが XOR DDoS マルウェアに関連付けられた IP アドレスとの通信を試みていることを知らせるものです。この EC2 インスタンスは侵害されている可能性があります。XOR DDoS は、Linux システムをハイジャックするトロイの木馬マルウェアです。システムにアクセスするために、Linux 上の Secure Shell (SSH) サービスのパスワードを検出するためにブルートフォース攻撃を開始します。SSH 認証情報を取得してログインに成功すると、ルートユーザー権限を使用して、XOR DDoS をダウンロードしてインストールするスクリプトを実行します。その後、このマルウェアはボットネットの一部として、他のターゲットに対する分散型サービス拒否 (DDoS) 攻撃を開始します。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「[侵害された可能性のある Amazon EC2 インスタンスの修復](compromised-ec2.md)」を参照してください。
## Behavior:IAMUser/InstanceLaunchUnusual
### ユーザーが起動した EC2 インスタンスのタイプが通常と異なります。
**デフォルトの重大度: [High] (高**
この検出結果は、 AWS 環境内の特定のユーザーが、確立されたベースラインとは異なる動作をしていることを知らせるものです。このユーザーには、このタイプの EC2 インスタンスを起動した履歴はありません。サインイン認証情報は侵害されている可能性があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。
## CryptoCurrency:EC2/BitcoinTool.A
### EC2 インスタンスはビットコインマイニングプールと通信しています。
**デフォルトの重大度: [High] (高**
この検出結果は、 AWS 環境内の EC2 インスタンスが Bitcoin マイニングプールと通信していることを知らせるものです。暗号通貨マイニングの分野では、マイニングプールは、ネットワーク上で処理能力を共有し、ブロックの解決に貢献した作業の量に応じて報酬を分割するマイナーによるリソースのプールです。この EC2 インスタンスをビットコインマイニングに使用していない限り、EC2 インスタンスは侵害されている可能性があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合、インスタンスは侵害されている可能性があります。詳細については、「[侵害された可能性のある Amazon EC2 インスタンスの修復](compromised-ec2.md)」を参照してください。
## UnauthorizedAccess:IAMUser/UnusualASNCaller
### API が通常とは異なるネットワークの IP アドレスから呼び出されました。
**デフォルトの重大度: [High] (高**
この検出結果は、特定のアクティビティが通常とは異なるネットワークの IP アドレスから呼び出されたことを知らせるものです。これは、記述されたユーザーの AWS の使用履歴全体で一度も確認されていないネットワークです。このアクティビティには、コンソールログイン、EC2 インスタンスの起動、新しい IAM ユーザーの作成、 AWS 権限の変更などが含まれます。これは、 AWS リソースへの不正アクセスを示している可能性があります。
**修復のレコメンデーション**
このアクティビティが予期しないものである場合は、認証情報が侵害されている可能性があります。詳細については、「[侵害された可能性のある AWS 認証情報の修正](compromised-creds.md)」を参照してください。