サイバーセキュリティ企業のカスペルスキーは、Amazon Simple Email Service(SES)が、標準的なセキュリティフィルタを回避し、レピュテーションベースのブロックを無効化する、説得力のあるフィッシングメールの送信に悪用されるケースが増えていると報告している。
過去にもこのリソースが悪用されたことはあったが、カスペルスキーによると、現在の急増は、公開資産に公開された大量のAWS Identity and Access Managementアクセスキーが原因である可能性があるという。
Amazon SESは信頼できる正規のリソースであるため、フィッシング詐欺はAmazon SESを利用して、認証チェックを通過した悪意のあるメールを送信することができる。
カスペルスキーの研究者は、Amazon SESを利用して悪意のあるサイトにリダイレクトするリンクを配信するフィッシング攻撃が増加していることを、本日発表したレポートで指摘している。
出典:Kaspersky:カスペルスキー
研究者は、この悪用の主な原動力は、GitHubリポジトリ、.ENVファイル、Dockerイメージ、バックアップ、および一般にアクセス可能なS3バケットにAWS認証情報の露出が増加していることだと考えている。
アクセスキーの発見は通常、流出した秘密をスキャンするために設計されたオープンソースのTruffleHogユーティリティをベースに構築されたボットを使用して、自動化された方法で行われる。
脅威行為者は現在、秘密のスキャン、許可の検証、電子メール配信を効率化する自動化された攻撃に依存しており、前例のないレベルの悪用が可能になっている。
カスペルスキーは、「攻撃者は、キーの許可と電子メール送信の制限を検証した後、大量のフィッシング・メッセージを拡散することができます」と説明しています。
調査結果によると、フィッシングの質は高く、実際のサービスを模倣したカスタムHTMLテンプレートやリアルなログインフローが特徴だという。
観測された攻撃には、DocuSignを模倣して被害者をAWSがホストするフィッシングページに誘導する偽の文書署名通知や、より高度なビジネスメール侵害(BEC)攻撃が含まれる。
攻撃者は、フィッシングメッセージをより説得力のあるものに見せかけるためにメールのスレッド全体を捏造し、財務部門を騙して支払いを行わせるために偽の請求書を送信します。
出典:Kaspersky:カスペルスキー
Amazon SESを活用することで、攻撃者はSPF、DKIM、DMARCプロトコルなどの認証チェックを気にする必要がなくなる。
さらに、フィッシングメールを配信する問題のIPアドレスをブロックすることは、Amazon SESを経由するすべてのメールを防ぐことになるため、受け入れられる解決策ではありません。
脅威者はAmazon SESだけに注目しているわけではありません。彼らは常にフィッシングメールを送信するために他の合法的なメールシステムを悪用する方法を見つけようとしている。
カスペルスキーは、企業に対し、「最小特権」の原則に基づいてIAM権限を制限し、多要素認証を有効にし、定期的に鍵をローテーションし、IPベースのアクセス制限と暗号化制御を適用することを推奨している。
アマゾンの声明では、暴露された認証情報についてのセキュリティガイダンスを指摘し、アカウントへの不正アクセスから保護することとしている。
同社はまた、潜在的な利用規約違反の報告には迅速に対応し、適切な措置を講じると述べている。
「AWSのリソースが悪用されている疑いがある場合は、AWS Trust & Safetyに報告することができます」とAWSの広報担当者は述べている。
更新[5月4日16:59 EST]: 記事を更新しました。
更新 [5月5日 11:50 EST]: 不正利用の増加はカスペルスキーの遠隔測定データに基づくものであり、一般的な傾向ではないことを反映するため、更新情報を追加し、見出しを修正しました。
.article-callout { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; overflow: hidden; } .article-media { flex: 1; max-width: 220px; display: flex; } .article-media a { display: flex; width: 100%; height: 100%; } .article-media img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; display: block; } .article-callout .article-media img { margin-top: 0 !important; height: 100% !important; } .article-body { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .article-body h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .article-body p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .article-link { background-color:#border:color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; padding:10px 20px; width: fit-content; } @media (max-width: 600px) { .article-callout { flex-direction: column; align-items: center; } .article-media { max-width: 100%; } .article-media img { border-radius: 8px 8px 0 0; } .article-body { padding:.article-body { padding: 15px; width: 100%; } .article-link { width: 100%; margin: 0 auto; box-sizing: border-box; } } .
Mythosが発見した問題の99%はまだ未パッチである。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments