AWSの設定ミスを悪用するフィッシング攻撃が登場 検出を回避するその手口：セキュリティニュースアラート

Palo Alto Networksは、脅威アクターグループJavaGhostがAWSを標的にしたフィッシング攻撃を継続していると報告した。このグループは設定ミスを利用し、セキュリティシステムを回避して攻撃を実行するという。

[後藤大地，有限会社オングス]

　Palo Alto Networksは2025年2月28日（現地時間）、脅威アクターグループ「JavaGhost」が「Amazon Web Services」（AWS）の設定ミスを悪用したフィッシング攻撃を継続的に展開していると伝えた。このキャンペーンはPalo Alto Networksのサイバーセキュリティ研究チーム「Unit 42」の調査によって明らかにされた。

AWSの設定ミスを悪用するフィッシング攻撃の詳細な手口

　JavaGhostは2019年に活動を始めた脅威グループで、当初はWebサイトの改ざんを主な手口としていた。2022年以降はフィッシングメールを送信する手法へと移行し、主にAWS環境を標的とした攻撃を実行している。同グループはAWSの脆弱（ぜいじゃく）性を悪用するのではなく、被害組織の環境設定ミスを狙い、長期的なアクセスキーを取得することで攻撃を実行するという。

　JavaGhostはAWSのIDおよびアクセス管理（IAM）の設定ミスを利用し、被害組織の「Amazon SES」（Simple Email Service）や「Amazon WorkMail」を通じてフィッシングメールを送信する。既存のAWS環境を利用することでメールフィルターを回避し、標的に電子メールを送信する。

　検出を回避するための高度な手法も採用している。攻撃の初期段階で一般的に使用される「GetCallerIdentity API」を回避し、代わりに「GetServiceQuota」や「GetSendQuota」といったAPIを使用することで攻撃の痕跡を隠蔽（いんぺい）する。

　さらに、「GetFederationToken」を使った一時的な認証情報の取得や、AWSコンソールへのログインURLの生成によって、コンソールへのアクセスを許可する。この手法でコンソールにアクセスすることでアクセスの痕跡を隠しやすくしている。

　JavaGhostはAmazon SESやAmazon WorkMailを使用してフィッシングインフラを構成する。具体的にはAmazon SESのドメイン認証（DKIM設定）や電子メール送信ポリシー変更、Amazon WorkMailの設定変更などを実行し、正規の電子メールアドレスを取得して使うことで信頼性の高いフィッシングメールを送信する。

　JavaGhostの攻撃は「AWS CloudTrail」のログに記録されることが多いため、適切な監視とアラート設定によって検出可能とされている。特に異常なAPIコールの監視、Amazon SESやIAMの設定変更の監視、AWS環境内の新規IAMユーザーやロールの作成の検出が重要とされ、侵害が確認された場合、AWSマネージドポリシー「AWSDenyAll」を適用することで脅威アクターのアクションをブロックできる。

　JavaGhostはクラウド環境を悪用したフィッシング攻撃を継続的に進化させており、2024年末時点でも活動が確認されている。組織は適切な環境設定とログ監視を強化し、AWSのセキュリティベストプラクティスを徹底することでこの脅威に対抗することが求められる。