Question#11(SCS-C01)

セキュリティエンジニアは Amazon GuardDuty からのアラートを受け取りました。アラートには、会社の主要なウェブサイトをホストしている Amazon EC2 インスタンスに関する検出結果 が記載されていました。GuardDuty の検出内容は次の通りです：

UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration セキュリティエンジニアは、悪意のある攻撃者が EC2 インスタンス用の API アクセスキーを、会社が事業を展開していない国から使用していることを確認しました。セキュリティエンジニアは、悪意のある攻撃者のアクセスを拒否する必要があります。セキュリティエンジニアが最初に取るべきステップはどれですか？

A. EC2 コンソールを開き、0.0.0.0/0 からのインバウンドトラフィックを許可しているセキュリティグループを削除する。
B. EC2 インスタンスに AWS Systems Manager Agent をインストールし、インベントリレポートを実行する。
C. ホストに Amazon Inspector エージェントをインストールし、CVE ルールパッケージでアセスメントを実行する。
D. IAM コンソールを開き、インスタンスプロファイルに関連付けられたすべての IAM セッションを取り消す。

正解と解説ディスカッション 0

正解：D

GuardDuty の検出名 UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration → これは EC2 インスタンスのメタデータサービスから盗まれた一時的な IAM ロール認証情報 が外部で利用されていることを意味します。 → したがって、攻撃者はすでに IAM セッション（STS トークン） を使って AWS API にアクセスしている状態です。
最優先の対処は、その盗まれた認証情報を即座に無効化することです。そのため、IAM コンソールからインスタンスプロファイルに関連するすべてのセッションを取り消す（invalidate/revoke） ことが最初のステップとなります。

Question#11(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル