[アップデート] AWS Network Firewallにてアクティブ脅威防御のサポート

こんにちはコカコーラ大好きカジです。AWS re:inforce 2025に現地参加しています。

概要

AWS Network Firewallに Amazon提供のThreat Intelligence（脅威インテリジェンス） を“マネージドルール”として組み込める機能が正式リリースされましたので、取り急ぎご連絡します。

公式アナウンスブログ（英語）はこちら AWS Network Firewall launches support for active threat defense - AWS

いきなりまとめ

• 機能内容はAWS提供の脅威インテリジェンスをAWS Network Firewallで自動適用可能
• 対象脅威はコマンドアンドコントロール (C2)、マルウェアステージングホスト、シンクホール、アウトオブバンドテスト (OAST)、マイニングプールなどの悪意のある IP、ドメイン、URL への疑わしいトラフィックを自動的にブロック（各用語については簡易説明について下部に記載）
• 実装方法はマネージドルールグループとして追加のため容易
• 追加コストは無料と推測（AWS Network Firewallの今回の追加機能の料金が記載がない）

構成図（AWSのブログから引用）

良いと思ったポイント

• 攻撃通信の自動ブロック

  • TORや既知のマルウェアC2通信先とのOutbound通信を自動で遮断。
  • GuardDuty で脅威リスト名「Amazon Active Threat Defense」でマークされた検出結果は、Network Firewallで Active Threat Defense が有効になっている場合に自動的にブロック

• AWSが最新の脅威リストを自動管理

  • 脅威IPリストの更新を手動で管理する必要がなく、常に最新の脅威から守られる状態を維持

参考

Network Firewallのドキュメントには以下で追加されていました。

AWS active threat defense for AWS Network Firewall - AWS Network Firewall

専門用語

• コマンドアンドコントロール (C2, Command and Control)
  • 攻撃者が侵入済みマシンをリモートで操作するための指令サーバー。
• マルウェアステージングホスト
  • 本体マルウェアやツールをダウンロードさせるための一時的な中継サーバー。
• シンクホール（Sinkhole）
  • 本来悪性ドメインに向かう通信を、無害なサーバー（Sinkhole）にリダイレクトする手法。
• アウトオブバンドテスト (OAST, Out-of-Band Security Testing)
  • ターゲットの“応答以外”の経路（DNS、HTTP、SMTPなど）を使って脆弱性を確認するセキュリティ検査。
• マイニングプール（Cryptocurrency Mining Pool）
  • 仮想通貨の採掘（マイニング）を複数人で協力して行い、報酬を分配する共有型の採掘ネットワーク。