1
/
5

【開発日誌#43】GuardDuty Malware Protectionでのマルウェア対策

kota
kota
インフラaws
on 2025-03-03

■ はじめに

AWSにおけるセキュリティ対策は万全でしょうか? AWS Security Hub、Config、GuardDutyなどを活用したAWSアカウントのセキュリティ対策、AWS WAFやShield、さらには各種セキュリティソフトウェアを用いたサーバーやネットワーク環境のセキュリティ対策など、多岐にわたる対策が存在します。その中でも今回はEC2およびコンテナワークロードでのマルウェア検知が可能なGuardDuty Malware Protectionについてご紹介します。

今回はAmazon Web Services(AWS)のGuardDuty Malware Protectionについてご紹介します。

■ AWS GuardDuty Malware Protectionとは

AWS GuardDuty Malware Protectionは、Amazon GuardDutyの拡張機能で、マルウェアによって既に侵害されたリソース、または危険にさらされているリソースを特定します。この機能は、EC2インスタンスおよびコンテナワークロードにアタッチされた EBSボリュームをスキャンすることで、マルウェアの潜在的な存在を検出します。 Malware Protectionは下記2つのスキャンタイプを提供しています。

◯スキャンタイプ

  1. GuardDutyによる自動スキャン(GuardDuty-initiated malware scan)
    GuardDutyがセキュリティ脅威を検出した場合に、自動でEBSボリュームのスナップショットを作成し、スキャンを実施します。
    → 管理の手間が不要で、異常検出時に即座にスキャンが実行されるため、迅速な対応が可能です。
  2. オンデマンドスキャン(On-demand malware scan)
    指定したAmazon EC2インスタンスやコンテナワークロードのEBSボリュームを手動でスキャンすることができます。
    → 疑わしい動作をしているインスタンスを手動でチェックできるため、より詳細な調査が可能です。

これらのスキャンは、EBSスナップショットを取得して分析を行うため、対象インスタンスに影響を与えることなく検査を実行できます。


■ 料金


東京リージョンの場合 1GBあたり$0.05になります。(2025年2月現在)
20GBのEBSをスキャンした場合$1になります。
*Malware Protection には Amazon EBS スナップショットが必要で、上記の金額とは別に料金がかかります。
市販のセキュリティソフトと比べるとかなり安いと思います。

■実際に使ってみる


今回はAmazonlinux2のEC2にEICARが公開しているEICAR テストファイルをEC2に作成します。

curl -o eicar.txt https://secure.eicar.org/eicar.com

* EICAR テストファイルとは、マルウェア対策ソフトをテストするためのファイルです。


GuardDutyの画面へアクセスしオンデマンドのマルウェアスキャンを行います。

スキャン対象のEC2 インスタンスの ARNを記入しスキャンを開始を押すだけで完了です。



スキャン開始から20分程で結果がかえってきました。(EBSの容量は8GiB)

スキャン結果はInfectedになっておりしっかりとEICAR テストファイルを検知してくれています。また、File pathやFile nameなども詳細に確認することができます。スキャンログはCloudWatch Logs 出力されます。スキャンのスキップやエラー内容を確認することができます。

上記写真のSkippedになっているのはMarketplaceで提供されているAlmalinux9 OSへスキャンを行ったためです。Marketplaceで提供されているAMIは検知の対象外となっておりますのでご注意ください。

◯その他にも注意事項があります。

・デフォルトのKMSキーで暗号化されたEBSはスキャンされません。

・Organizationでアカウント管理を行っている場合は組織管理アカウントから許可する必要があります。


■まとめ

GuardDuty Malware Protectionでは特にインスタンスに何かをインストールする必要がなく、GuardDutyのコンソールから有効化するだけでマルウェア対策ができるのでとても簡単に利用ができます。また、実際に利用しているEBSではなくスナップショットで作成したEBSをスキャンするためサービスに影響なく利用できるのは便利ですね。

しかし、FargateやMarketplaceで提供されているAMIは対象外なので今後のアップデートに期待したいです。料金も高くはないためAmazonlinuxをご利用な方は利用することをお勧めします。

おわりに

弊社のインフラチームではAWS,ドメイン、メールサーバ、IaC、CI/CDパイプライン構築など幅広く対応しています。

コムデではインフラチームメンバーを募集中です。
興味のある方は、ぜひご応募ください!

Invitation from 株式会社コムデ
If this story triggered your interest, have a chat with the team?
株式会社コムデ's job postings
3 Likes
3 Likes

株式会社コムデ

【BC事業部】 主に、WebサイトやECサイトに関する制作を手掛けるBC事業部。 Web制作から事業を成功に導くまでのマーケティングを一貫して行います。 また、Web/IT産業に欠かせないのがデザイン。 視覚的にはもちろんビジネスの成功を見据えた戦略的なデザイン制作も担っています。 ------------------------------------------------------------------------------------------------------- 【IE事業部】 IE事業部が行うのは、システム/アプリ制作とインフラ構築。 IT産業の基盤となる分野を手掛けるこの事業部では、ユーザビリティを追求した制作を行います。 また、品質管理を行うQAも在籍しており、より高品質でユーザビリティのある製品やサービス制作に取り組んでいます。 ------------------------------------------------------------------------------------------------------- 以上2つの事業部のほか ・COMMUDE Philippine,Inc.・・・コムデフィリピン ・COMMUDE Vietnam,Inc. ・・・コムデベトナム 上記2カ国にオフショア開発拠点を設けて、グローバルに制作開発を行なっております。 クライアントに感動し、「すごい!」と思ってもらえる制作をモットーに、要望通りの機械的な制作ではなく、制作物を通してクライアントの事業の成功への道筋を描くことを目指しています。 また、代理店経由の案件から自社案件、ジャンルも様々な制作を行いながら、分野問わずクオリティを追求した制作を行います。 中小企業〜大企業まで様々な案件があり、誰もが知るような有名企業の案件も多数対応しています。 受託業務では、単なる受託ではなくグロースハック的な視点を持ち、お客様に提案し且つ、効果のある制作を行います。 ※社内での制作を基本としているため、客先常駐は行っておりません 自社開発では、受託業務で培ったノウハウを元に、自社の視点でBtoB向けのサービスを開発していきます。  ・Go Appシリーズ (ゲームアプリ(Chessや将棋、オセロなど))  ・WP+App (WordPressを利用したAppサービス)  ・クリエィティブチーム「DOT」(https://team-dot.net/)

Weekly ranking

Show other rankings
Like kota's Story
Let kota's company know you're interested in their content