Amazon SESフィッシング詐欺の衝撃!漏洩したAWSキーで正規サービスが悪用される新手口と完全対策

衝撃的な事実:正規のAmazonサービスが大規模フィッシング詐欺に悪用された

2025年9月、サイバーセキュリティ業界に激震が走りました。セキュリティ企業Wizのリサーチチームが発見したのは、Amazon Simple Email Service(SES)を悪用した前代未聞の大規模フィッシング詐欺です。

攻撃者が漏洩したAWSアクセスキーを使って正規のAmazonサービスから大量のフィッシングメールを送信していたという事実は、クラウドサービスのセキュリティに新たな課題を突きつけています。

なぜこの攻撃が特に危険なのか

通常のフィッシング攻撃では、攻撃者は怪しいドメインや偽装されたメールサーバーを使用します。しかし、今回の事件では正規のAmazon SESから送信されているため、多くのメールフィルターやセキュリティソフトを素通りしてしまう可能性が高いのです。

現役のCSIRTメンバーとして多くのインシデント対応に携わってきた経験から言えば、このような「信頼されたサービスの悪用」は最も検知が困難で、被害が拡大しやすい攻撃手法の一つです。

攻撃の詳細メカニズム:どのようにして正規サービスが乗っ取られたのか

1. AWSアクセスキーの漏洩が発端

攻撃の起点は、何らかの方法で漏洩したAWSのアクセスキーです。これらのキーは以下のような経路で流出する可能性があります:

  • 開発者がGitHubなどの公開リポジトリに誤ってアップロード
  • 設定ファイルの不適切な管理
  • 従業員のPCへのマルウェア感染
  • 内部犯行による意図的な流出
  • 第三者による不正アクセス

2. Amazon SESの送信制限解除

攻撃者は流出したアクセスキーを使用して、Amazon SESの送信制限を解除しました。通常、新規アカウントには1日200通という制限がありますが、この制限を解除することで大量のメール送信が可能になります。

3. 正規サービスを装った大規模フィッシング

制限解除後、攻撃者は以下のような手法でフィッシング攻撃を展開:

  • 有名企業やサービスを装ったメールの大量送信
  • 正規のAmazonドメインからの送信による信頼性の悪用
  • 高度に偽装されたランディングページへの誘導
  • 個人情報や認証情報の窃取

実際のフォレンジック事例:中小企業が受けた深刻な被害

私がフォレンジックアナリストとして調査した類似事例をご紹介します(企業名は匿名化)。

事例1:製造業A社(従業員120名)

A社では、経理部門の社員がAmazon SESから送信された「請求書確認のお願い」というメールを受信。正規のAmazonサービスからの送信だったため、疑うことなくリンクをクリックしてしまいました。

被害状況:

  • 経理システムへの不正アクセス
  • 取引先情報約3,000件の漏洩
  • 偽装された送金指示による約500万円の金銭被害
  • システム復旧とセキュリティ強化に約200万円の追加費用

事例2:IT企業B社(従業員45名)

B社では、開発チームのマネージャーが「AWSアカウントの緊急メンテナンス」を装ったフィッシングメールに騙されました。

被害状況:

  • AWSアカウントの完全乗っ取り
  • 顧客データベースへの不正アクセス
  • ランサムウェア攻撃による全社システム停止(3日間)
  • 顧客への損害賠償と信頼失墜

企業が今すぐ実施すべきセキュリティ対策

1. AWSアクセスキーの適切な管理

即座に実施すべき対策:

  • すべてのアクセスキーの棚卸と不要キーの削除
  • IAMロールベースのアクセス制御への移行
  • MFA(多要素認証)の必須化
  • 定期的なキーローテーション
  • GitHub等での機密情報スキャン

2. メールセキュリティの強化

正規サービスを装った攻撃に対しては、従来のアンチウイルスソフト 0だけでは限界があります。以下の多層防御が必要です:

  • DMARC、SPF、DKIMの適切な設定
  • 高度な脅威検知機能付きメールセキュリティの導入
  • サンドボックス機能による添付ファイル検査
  • リンク先URLの動的解析

3. Webサイトの脆弱性対策

フィッシング攻撃の多くは、企業サイトの脆弱性を突いた攻撃と組み合わされます。Webサイト脆弱性診断サービス 0による定期的な診断で、攻撃の足がかりとなる脆弱性を事前に発見・修正することが重要です。

個人ユーザーができる防御策

1. 基本的な判断基準

Amazon SESフィッシングを見分けるポイント:

  • 緊急性を煽る文言(「24時間以内に対応」など)
  • 個人情報の入力を求めるリンク
  • 送信者のメールアドレスが実際のサービスと微妙に異なる
  • 文章の不自然な日本語や誤字脱字

2. 技術的な対策

個人レベルでできる最強の防御:

特にVPN 0は、フィッシングサイトへのアクセス時に警告を表示したり、悪意あるサイトへの接続をブロックする機能を持つものもあるため、多重防御の一環として非常に有効です。

インシデント発生時の対応手順

万が一、フィッシング攻撃に遭遇してしまった場合の初動対応:

1. 即座に実施すること

  • 該当アカウントのパスワード変更
  • すべての関連サービスからのログアウト
  • 銀行やクレジットカード会社への連絡
  • 被害状況の記録

2. 24時間以内に実施すること

  • システムの完全スキャン
  • 重要データのバックアップ確認
  • セキュリティ専門家への相談
  • 関係者への報告

2025年の脅威予測と今後の対策

今回のAmazon SES悪用事件は、今後さらに巧妙化するクラウドサービス悪用攻撃の序章に過ぎません。

予想される新たな攻撃パターン

  • Google Workspace、Microsoft 365等の他のクラウドサービス悪用
  • AI技術を活用したより精巧な偽装メール
  • 複数のクラウドサービスを連携させた多段階攻撃
  • IoTデバイスを踏み台にした大規模攻撃

これからの防御戦略

従来の「境界防御」から「ゼロトラスト」への転換が急務です。すべての通信を疑い、継続的な認証と監視を行う体制の構築が必要になります。

まとめ:正規サービス悪用時代のセキュリティ戦略

Amazon SESを悪用したフィッシング攻撃は、サイバーセキュリティ業界における新たな転換点となりました。正規のサービスが攻撃に悪用される時代において、私たちは従来の防御概念を根本的に見直す必要があります。

重要なポイントを整理すると:

  1. 信頼できるサービスからのメールも疑う:送信者の信頼性だけでなく、内容の妥当性を常に検証
  2. 多層防御の徹底アンチウイルスソフト 0VPN 0Webサイト脆弱性診断サービス 0を組み合わせた包括的なセキュリティ対策
  3. 継続的な教育と訓練:技術の進歩に合わせた定期的なセキュリティ意識の向上
  4. 迅速な初動対応:インシデント発生時の素早い対応が被害拡大を防ぐ鍵

今回の事件は決して他人事ではありません。あなたの会社、あなた自身が次の標的になる可能性は十分にあります。今すぐできる対策から始めて、段階的にセキュリティレベルを向上させていくことが重要です。

サイバーセキュリティは「完璧」ではなく「継続的な改善」が求められる分野です。今回の事件を教訓に、より強固な防御体制を構築していきましょう。

一次情報または関連リンク

Amazon SESを悪用したフィッシング詐欺 漏えいしたAWSキーが引き金に – ITmedia

タイトルとURLをコピーしました