受信トレイを眺め、ノイズの中からシグナルを探そうとしている。保留中の請求書に関する通知。馴染みのあるサービスへのアカウント再確認リクエスト。もっともらしく見えるだろう? だが、それは違う。そして、それを送ってくる連中は正規のビジネスには興味がない。ただ、あなたの認証情報、あるいはそれ以上にひどいものを盗もうとしているだけだ。これは新しいことではないが、その規模は? そこが変化している点だ。我々の多くが正規のコミュニケーションに頼っているAmazon Simple Email Service (SES) — これが、セキュリティフィルターを回避しようとするフィッシャーたちの定番ツールになりつつある。そして率直に言って、それはあまりにもうまく機能している。
いいか、私はこの手の話を20年も取材してきた。流行り廃りを見てきたし、企業がAIパワーのピクシーダストで古い問題を塗りつぶすのを見てきた。だが、これは? これは、正規のサービスが悪意のある攻撃者にとって便利な侵入経路となる古典的なケースだ。そして、その根本的な問題は、時代を超えて変わらない——漏洩した認証情報だ。
「信頼された」エイリアス
ここに、汚い秘密がある。 Amazon SESは、その性質上、信頼できるエンティティなのだ。SESからメールが届いた場合、それはSPF、DKIM、DMARCのような認証チェックを通過するはずだ。なぜか? それはAmazonだからだ。彼らは評判を守る義務がある。フィッシャーはそれを知っている。彼らは愚かではない。ただ、機会主義的なだけだ。SESに便乗することで、怪しげで未知の送信者を捕まえるように設計されたセキュリティ層全体を回避している。それは、有名人の推薦を使ってインチキ商品を売るようなものだ——製品がゴミでも、その名前には重みがある。
どうしてこうなった?
Kasperskyの研究者たちが警鐘を鳴らしている。彼らの報告は、明確な原因を指し示している:公開されたAWS Identity and Access Management (IAM) アクセスキーだ。これらのキーは、建物のマスターキーのデジタル版だと考えてほしい。誰かがそれをGitHub、忘れられた.envファイル、あるいはプライベートだと思っていたバックアップに放置しておけば、悪い連中がフリーパスを手に入れたことになる。TruffleHogのようなボットは、これらの公開スペースを常にクロールし、これらのキーを探し出している。メール送信権限と十分な制限を持つキーを見つけたら、彼らはレースに飛び出す。
「キーの権限とメール送信制限を確認した後、攻撃者は大量のフィッシングメッセージを拡散できるようになる」とKasperskyは説明している。
それは合理化されたプロセスだ。キーを見つけ、権限を検証し、メールを大量送信する。彼らはこれを前例のない悪用だと呼んでいる。そして、それは理にかなっている。誰かの乗っ取られたアカウントにただ居座るだけなら、自家製の信頼できないメールサーバーをセットアップするのに苦労する理由などない。Amazonのサービスを借りられるのに、しかもそれは実質無料か、非常に安価なのだから。
スキャマーの新しいツールキット
特に腹立たしいのは、これらのフィッシングメールの質だ。もはや、フォーマットの悪いスパムではない。これらの攻撃者は、本物のサービスを驚くほど正確に模倣するカスタムHTMLテンプレートを作成している。現実的なログインフローを構築しているのだ。DocuSignの偽通知がAWSホストのフィッシングページに誘導されたり、偽の請求書を不穏なほど本物らしく見せる巧妙なビジネスメール詐欺(BEC)攻撃が行われたりしている。経理部諸君、君たちは彼らの照準に入っている。
IPアドレスのブロックだけでは不十分な理由
では、解決策は? まあ、明らかなもの——攻撃サーバーのIPアドレスをブロックすること——は、現実的ではない。SESのIP範囲をブロックすれば、フィッシャーをブロックするだけでなく、Amazonの顧客からの正規のメールもブロックすることになる。それは実行可能な選択肢ではない。それは、井戸全体を排水して、一滴の毒を止めようとするようなものだ。
真の解決策:多層防御
Kasperskyの推奨事項は、当然の、賢明なアドバイスだ:IAM権限に対する最小権限の原則、あらゆる場所での多要素認証、定期的なキーローテーション、そして暗号化。これらは基本だ。あなたの組織がこれらを律儀に行っていなければ、すでにドアを開けっ放しにしていることになる。ここでの問題は、大規模な、特に広大なパブリッククラウドインフラストラクチャにおける、これらの基本の欠如が、この温床を作り出しているということだ。それは単に自分の家を守るだけでなく、隣人がドアを施錠せずにいることが、あなたの近所をより危険にしていると認識することなのだ。
これが浮き彫りにするのは、SESの特定の悪用を超えて、クラウド環境における属性特定と封じ込めの継続的な闘いだ。Amazon SESのようにユビキタスで柔軟なサービスは、必然的に悪用の標的となるだろう。真の脆弱性は、サービスそのものではなく、その認証情報が大規模に侵害され、誤用されることを許す、人間的および手続き的な失敗にある。我々は、常にそうしてきたように、最小抵抗の道を探している悪党たちに、まだ追いつこうとしているところなのだ。そして今、その道は、侵害されたAWSキーと、無邪気に見えるAmazonからのメールをまっすぐ通っている。
誰が本当にここで儲けているのか?
ノイズを切り分けよう。この特定の混乱から誰が利益を得ているのか? 明らかに、脅威アクターだ。彼らは認証情報を盗んだり、人々を騙して支払いをさせたり、乗っ取られたアカウントへのアクセスを売ったりして儲けている。だが、他に誰か? まあ、これらの侵害を検出するためのツールを販売しているセキュリティ企業、そして「最小権限」を実装するのを支援するコンサルタント、
