こんにちは。Orca Security 担当の尾谷です。

お客様より「Amazon WorkSpaces を使っているが、本当に脅威を検知できているのか不安だ。」 と連絡をいただきました。

• Windows Defender で検知した脅威が、Orca の Alert ページで表示されていない
• Office 製品のバンドル版にも関わらず、Orca の Inventory ページに何も表示されない

製品のドキュメントページには、Amazon WorkSpaces に対応している旨、記載がありました。

Orca Support に問い合わせしても「対応している。」との回答で、双方の見解が不一致です。

検証してみました

Amazon WorkSpaces を起動してみました。Simple AD でドメインを構築し、ワークスペースを起動しました。

Orca コンソールでインベントリ情報を確認しましたが、パブリックサブネットに起動しているのに Graph は何も表示がされませんでした。

アラートも、何も表示されません。

WorkSpaces に紐づくセキュリティグループは検知可能

セキュリティグループは 0.0.0.0/0 で開放されているとアラートが表示されました。

これは、うっかりでした。
急いで、IP アクセスコントロール で接続元 IP アドレスを制限しました。

EICAR ウイルスも検知しない

アラートを全く検知しないことに関して、Orca サポートに問い合わせしましたが「アラートがないこと、脅威がないことはいいことだ。」との回答でした。

僕の聞き方が悪かったのかも知れません。ただ、このままでは納得がいかないので EICAR ウイルスを仕込みました。

現段階で OS の中身は確認できない

EICAR ウイルスをダウンロードフォルダに設置して、再度スキャンしました。

しかしながら、デフォルトの KMS キーが使用されているというアラートと WorkSpaces メンバーに関するアラートを検知しましたが、OS 上のアラートも、イベントリ情報も検知しませんでした。

再度、この状態を Orca Support に問い合わせたところ、Amazon WorkSpaces はサーバレスサービスのため、SideScanning が適用できないといった回答がありました。
この点に関しては、エンハンス開発のリクエストを依頼しました。

まとめ

Amazon WorkSpaces の OS 中身に関しては、AWS マネージドなサーバーレス・サービスのため、現段階では Orca Security の SideScanning は適用できないが、セキュリティグループや IAM のリスクなどは検知できるということが分かりました。

Amazon WorkSpaces のサポート・アップデートは今後も確認していきます。