[アップデート]Amazon GuardDutyの脅威リストが追加され新たな悪意あるドメインを検出するようになりました

Amazon GuardDutyで不審なドメインに対するDNSクエリの検出が強化されました。
2026.03.30
こんにちは、臼田です。
みなさん、Amazon GuardDutyで脅威検出してますか？(挨拶
今回はAmazon GuardDutyのアップデート通知より悪意あるドメインの検出が強化されたと連絡があったのでこれを見ていきます。
実際にクラスメソッドでもこの効果によるAmazon GuardDutyの通知の増加を確認しています。
 通知概要少し長いですが以下の通知が来ていました。
{
    "version": "1",
    "type": "UPDATED_FINDINGS",
    "findingDetails": [
        {
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-phishingdomainrequestdns",
            "findingType": "Trojan:EC2/PhishingDomainRequest!DNS",
            "description": "GuardDuty has expanded its threat intelligence sources to include an additional vendor, providing broader coverage of known malicious domains. You may observe an increase in findings for this finding type as a result of this expanded coverage."
        },
        {
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#backdoor-ec2-ccactivitybdns",
            "findingType": "Backdoor:EC2/C&CActivity.B!DNS",
            "description": "GuardDuty has expanded its threat intelligence sources to include an additional vendor, providing broader coverage of known malicious domains. You may observe an increase in findings for this finding type as a result of this expanded coverage."
        },
        {
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#trojan-ec2-drivebysourcetrafficdns",
            "findingType": "Trojan:EC2/DriveBySourceTraffic!DNS",
            "description": "GuardDuty has expanded its threat intelligence sources to include an additional vendor, providing broader coverage of known malicious domains. You may observe an increase in findings for this finding type as a result of this expanded coverage."
        },
        {
            "link": "https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html#impact-ec2-suspiciousdomainrequestreputation",
            "findingType": "Impact:EC2/SuspiciousDomainRequest.Reputation",
            "description": "GuardDuty has expanded its threat intelligence sources to include an additional vendor, providing broader coverage of known malicious domains. You may observe an increase in findings for this finding type as a result of this expanded coverage."
        }
    ]
}
意訳すると以下のとおりです。
GuardDutyは脅威インテリジェンスの情報源を拡張し、新たなベンダーを追加することで、既知の悪意のあるドメインの網羅範囲を拡大しました。この網羅範囲の拡大に伴い、この検出タイプの検出件数が増加する可能性があります。
対称は下記4つのFinding Typesです。
Trojan:EC2/PhishingDomainRequest!DNS
Backdoor:EC2/C&CActivity.B!DNS
Trojan:EC2/DriveBySourceTraffic!DNS
Impact:EC2/SuspiciousDomainRequest.Reputation
つまり、従来より不審なDNSクエリに対する検出が強化されたよってことですね。
ちなみにAmazon GuardDutyのアップデート通知の受け取り方は下記にあります。
https://dev.classmethod.jp/articles/get-notifications-for-guardduty-feature-release/
 変化を調査してみたこのアップデートの通知は2026年3月28日(土)の午前7時(日本時間)に来たのですが、そこから遡ること約1日前の2026年3月27日(金)の午前7時(日本時間)頃より、Trojan:EC2/PhishingDomainRequest!DNSの検出が増加していることを観測しました。
それらのFindingsで検出されたドメインはいずれも明らかにひと目で不審だと分かるドメインでしたので、正常な検出であるように見受けられました。
検出されている対称の環境は直近の構成変更などではなく、今回のアップデートが起因で検出が増加しているように見受けられました。
そして、この検出にはもう一つ特徴的な内容がありました。検出全てに下記の情報が含まれていました。
"Service": {
  "AdditionalInfo": {
    "Value": "{\"threatListName\":\"Sophos\"}",
    "Type": "default"
  }
}
これはどのベンダーから提供されている脅威情報を利用した検出であるか、が記載された内容です。
今回のアップデートでは「新たなベンダーを追加」と書いてありましたが、少なくともSophosがそのベンダーに含まれているようです。
少なくとも現状私が見ている限りでは明らかに不審なドメインでの検出ばかりであるため、十分役に立っていると思います。
これまで検出が無かった環境でこの検出が増えている場合、これまで可視化されていなかったリスクが可視化されるようになった、と捉えて対処していくのが良さそうです。
とは言え、直ぐに対処が難しい場合や、別の手法でリスクを軽減できている場合などは、抑制ルールの設定なども検討しましょう。
GuardDuty の抑制ルール - Amazon GuardDuty
 まとめAmazon GuardDutyがアップデートされ、よりたくさんの脅威のあるドメインについて検出するようになりました。
非常に心強いですね。すべてのAWS環境でAmazon GuardDutyを有効化していきましょう！
[アップデート]Amazon GuardDutyの脅威リストが追加され新たな悪意あるドメインを検出するようになりました

通知概要

変化を調査してみた

まとめ

関連記事

AWSで探す

注目のテーマ

プロダクトやサービスで探す

特集やシリーズから探す

EVENTS
