Amazon Simple Email Service (SES) は、標準的なセキュリティフィルターを通過し、評判ベースのブロックを無効化できる説得力のあるフィッシングメールを送信するために、ますます悪用されています。 このリソースは過去にも悪意のある活動に利用されてきましたが、現在の急増は、公開されているアセットで多数の AWS Identity and Access Management アクセスキーが公開されていることが原因である可能性があります。 正規の信頼できるリソースであるため、フィッシング運用は Amazon SES を利用して、認証チェックを通過する悪意のあるメールを送信できます。 Kaspersky の研究者はレポートで、「Amazon SES を悪用するフィッシング攻撃の増加を観測した」と述べており、悪意のあるサイトにリダイレクトするリンクを配信するために利用されています。  *出典: Kaspersky* 研究者たちは、この悪用の主な原因は、GitHub リポジトリ、.ENV ファイル、Docker イメージ、バックアップ、および公開されている S3 バケットでの AWS 認証情報の公開が増加していることだと考えています。 アクセスキーの発見は通常、漏洩したシークレットをスキャンするために設計されたオープンソースの TruffleHog ユーティリティ上に構築されたボットを使用して自動的に行われます。 脅威アクターは現在、シークレットスキャン、権限検証、およびメール配信を合理化する自動化された攻撃に依存しており、前例のないレベルの悪用を可能にしています。 「キーの権限とメール送信制限を確認した後、攻撃者は大量のフィッシングメッセージを拡散できるようになります」と Kaspersky は説明しています。 彼らの発見に基づくと、研究者たちは、フィッシングの品質は高く、実際のサービスを模倣したカスタム HTML テンプレートと現実的なログインフローを備えていると述べています。 観測された攻撃には、DocuSign を模倣して被害者を AWS ホストのフィッシングページに誘導する偽の署名通知や、より高度なビジネスメール詐欺 (BEC) 攻撃が含まれます。 攻撃者は、フィッシングメッセージをより説得力のあるものにするために完全なメールスレッドを偽造し、経理部門を騙して支払いを行わせるために偽の請求書を送信します。  *出典: Kaspersky* Amazon SES を悪用することで、攻撃者は SPF、DKIM、DMARC プロトコルなどの認証チェックを気にする必要がなくなります。 さらに、フィッシングメールを配信する攻撃 IP アドレスをブロックすることは、Amazon SES を通じて送信されるすべてのメールを妨げることになるため、許容できる解決策ではありません。 脅威アクターは Amazon SES だけに焦点を当てているわけではありません。彼らは常に、フィッシングメッセージをプッシュするために他の正規のメールシステムを悪用する方法を見つけようとしています。 Kaspersky は、企業に対し、「最小権限」の原則に基づいた IAM 権限の制限、多要素認証の有効化、キーの定期的なローテーション、および IP ベースのアクセス制限と暗号化制御の適用を推奨しています。 BleepingComputer に対する声明で、Amazon は、公開された認証情報に関するセキュリティガイダンスと、アカウントへの不正アクセスから保護する方法を指摘しました。 AWS の広報担当者は BleepingComputerに対し、「AWS リソースが悪用されている疑いがある場合は、AWS Trust & Safety に報告できます」と述べています。