現在、Amazon Web Service(AWS)のEC2環境にて、WindowsServer2022を運用しております。
先日、Amazon社より Amazon GuardDutyでタイトルの通りの検知がありました。
--
EC2が、通常とは異なるDNSリゾルバーと通信しています
・IPアドレス:162.159.36.2
・検知時刻:2024-07-04 15:36:58
との警告があり、意味不明であったため、Amzon社へ問い合わせた所、
■Amzonよりの回答
Windows Update を実行する際に必要なドメインが解決できない場合に、割り当てられた DNS リゾルバではなく Cloudflare 社の DNS リゾルバを利用し通信を行う事象が存在している。
今回の事象についても、Windows の仕様によりアクセスが発生した可能性が考えられる。
当方にてインターネット上の公開情報 [1],[2]より確認を行いましたところ、IPアドレス"162.159.36.2" への接続を行う仕組みが Windows 側に存在するようでございました。
本IPアドレスに関する Microsoft 社からの公式な公開情報はなく、当方でも具体的にその他どのような契機で該当のIPアドレスのDNSサーバーが利用されるかについては把握できておりません。
該当のDNSサーバーはMicrosoft社によって特定の条件下で使用するようあらかじめ規定されているものであり、またIP アドレスの安全性を評価する外部サイト[3],[4]でも特に悪性であるとは判定されていないようでしたため、お客様のインスタンスから当該IPアドレスがクエリされていること自体の危険性は低いものと考えられます。
具体的にどのような動作により該当の DNS サーバーへの通信が行われる可能性があるか、またそれが Windows として期待された動作かどうかにつきましては、お手数ではございますが Microsoft 社までお問い合わせいただきますよう、よろしくお願い申し上げます。
■ 参考資料※ いずれも外部資料であり、AWS として内容を保証するものではございません点、ご了承くださいませ。
[1]https://www.askwoody.com/forums/topic/its-way-too-soon-to-panic-about-windows-11/
[2]https://ameblo.jp/push-gci/entry-12743142170.html
[3]https://www.virustotal.com/gui/ip-address/162.159.36.2
[4]https://www.abuseipdb.com/check/162.159.36.2 との回答がありました。
その結果、本日マイクロソフト社様へお問合せしている次第です。
具体的には IPアドレス"162.159.36.2" とはどのような性質のもので、危険性、悪性はないのでしょうか? という質問になります。
よろしくお願い申し上げます。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)