Amazon SES における大規模フィッシング攻撃を検知：侵害済の AWS 認証情報を悪用

Hackers Exploit Amazon SES to Blast Over 50,000 Malicious Emails Daily

2025/09/08 gbhackers — 侵害済の AWS 認証情報を悪用する高度なサイバー攻撃キャンペーンにおいて、脅威アクターたちが Amazon Simple Email Service (SES) を乗っ取り、１日あたり５万件以上の悪意のメールを送信するという、大規模なフィッシング攻撃が開始されている。この攻撃は、正規クラウドサービスを武器にする、きわめて深刻な詐欺手口である。2025年5月の時点で、この SES 悪用キャンペーンを特定した Wiz Research チームが、サイバー犯罪者たちが前例のない規模で、クラウド基盤を悪用している状況を明らかにした。この攻撃により、侵害済の AWS アクセスキーは、強力なフィッシング・インフラへと変貌し、従来のメール・セキュリティ防御を回避しながら、経済的な損失とブランドの低下を被害者たちにもたらしている。

このキャンペーンの起点は、コード・リポジトリでの偶発的な公開や、開発者ワークステーションからの窃取などにより、漏洩していった AWS アクセス・キーにある。それらの認証情報を得た攻撃者は、直ちに偵察を実施し、自らの能力を評価した。

最初に実行されたのは GetCallerIdentity リクエストであり、アクセス・キー名に “ses-” が含まれていることが確認された。それが示すのは、SES 権限でプロビジョニングされたキーであり、攻撃者にとって格好の攻撃基盤となった。

続いて攻撃者は、GetSendQuota／GetAccount などの呼び出しを行い、SES がサンドボックス制限下にあるかどうかを調査した。この初期評価は数秒で完了し、攻撃が自動化されることが裏付けられた。

セキュリティ制約からの解放

Amazon SES は、デフォルトでサンドボックス・モードとなっており、検証済みアドレスに１日あたり 200 件まで、１秒あたり１件という送信制限がある。本番環境モードでは、１日あたり 50,000 件まで送信可能になる。

この攻撃者は、正当な事業者が本番モードへの移行時に常用する PutAccountDetails リクエストを悪用し、わずか 10 秒間で全 AWS リージョンへと集中的に送信した。この戦術により、地域ごとの送信割当を最大限に利用するものであり、潜在的な制限の回避が達成され、地理的に分散した冗長性が構築された。これは、従来の研究では報告されていない新たな手法である。

さらに攻撃者は、建設会社の Web サイトを参照する一般的な説明を添えて、本番環境への移行を正当化し、AWS の審査を通過した。しかし、１日５万件の割当に満足せず、CreateCase API を用いてサポート・チケットを作成して上限の引き上げを試みたが、権限不足で失敗したようだ。そこで、IAM ポリシー “ses-support-policy” を作成して昇格を試みたが、それにも失敗した。ただし、１日５万件の標準割当であっても、十分に攻撃は成立した。

本番環境モードへと移行した攻撃者は、CreateEmailIdentity API を利用し、複数のドメインを検証済み ID として登録した。そこに含まれるドメインには、攻撃者が所有するものと、DMARC 保護が脆弱な正規のものがあり、セキュリティ制御を回避してメールを偽装／送信するためのフィッシング基盤が構築された。

フィッシング攻撃キャンペーンの開始

このインフラが構築された後に、攻撃者が開始したフィッシング攻撃は、業種や地域を限定しない広範なものである。それらの配信された悪意のメールの件名は、”2024 年度の納税申告書の閲覧と印刷が可能になりました” や “情報アラート：納税記録に異常があります” というものだった。

これらのメールに反応した被害者たちは、商用トラフィック分析サービスを利用したリダイレクト経由で、認証情報窃取サイトへと誘導された。正規マーケティング手法を転用することで、この攻撃者たちが達成したのは、セキュリティ回避とクリック率の可視化である。

このキャンペーンは日和見的かつ金銭目的だと示唆されるが、既知の脅威グループとの関連性は確認されていない。この攻撃で新たに窃取された認証情報は、BEC (Business Email Compromise) などの活動に悪用される可能性がある。

SES 悪用のリスク

このような攻撃者は、検証済みドメインからメールを送信できるため、正規の組織を装うフィッシングが可能となり、被害者のビジネスや評判に深刻なリスクが生じる。業務プロセスを容易に偽装する、スピアフィッシング／詐欺／データ窃取などにより、ブランド価値に甚大な損害を与える恐れがある。

SES 悪用はメールだけには留まらない。それらの攻撃者は、有効な AWS 認証情報を保持していることを意味し、クラウド・インフラ全体への侵害へと拡大するリスクを伴う。運用面においても、スパム／フィッシングなどの不正使用に対する苦情が AWS に寄せられ、被害者のアカウントが制限される可能性がある。それにより、業務は混乱し、解決のためのコストが発生する。

防止の戦略

セキュリティ専門家たちは、SES の不正使用のリスクを軽減するための、いくつかの対策を推奨している。ユーザー組織にとって必要なことは、不要アカウントで SES をブロックするサービス・コントロール・ポリシーを導入し、IAM キーに対する定期監査とローテーションにより、長期にわたる侵害を防ぐことである。最小権限の原則の適用により、指定ロールのみが、新規の送信者に対する検証や、本番アクセスをリクエストできるようにする必要がある。

また CloudTrail で SES アクティビティを包括的に記録／監視し、不審な API 呼び出しや急増を検出することも重要である。特に PutAccountDetails の複数リージョン集中リクエスト／コンソール外からの CreateCase API 呼び出し／急速なドメイン・メール ID 作成といった攻撃指標を監視すべきである。

この攻撃キャンペーンは、クラウド利用状況の急激な変化や、認証情報の不正使用を常に監視することの重要性を示している。脅威アクターが正当なクラウド・サービス悪用の手法を進化させ続ける中、ユーザー組織は新たな攻撃ベクターに対応できるよう、防御戦略を調整する必要がある。

Wiz Defend などのセキュリティ・プラットフォームが開発しているのは、SES サンドボックス離脱試行／非アクティブキーの突発的使用／複数国からの短期間 API 呼び出しなどを検知するルールであり、攻撃が本格化する前の対応を可能にしている。

AWS 認証情報が漏洩したことを起点に、Amazon SES を悪用する攻撃者が、大規模なフィッシング攻撃を展開した経緯が解説されています。原因となるのは、誤って公開されたコードや開発環境から盗まれたアクセス・キーです。攻撃者は、窃取したキーの権限を調べ、SES 権限を持つことを確認すると、本番環境への移行機能を悪用することで、１日５万件規模の送信能力を確保しました。その後、複数のドメインを検証済みとして登録し、正規メールを装った攻撃基盤を築いたと、この記事は指摘しています。よろしければ、Phishing で検索も、ご参照ください。