Amazon SESを悪用したフィッシング詐欺 漏えいしたAWSキーが引き金に：セキュリティニュースアラート

Wizによると、漏えいしたAWSのアクセスキーが引き金となり、Amazon Simple Email Service（Amazon SES）が悪用された大規模なフィッシング詐欺が確認された。攻撃者は流出キーで送信制限を解除し、正規サービスを装って大量のフィッシングメールを送信している。

[後藤大地，有限会社オングス]

　Wizは2025年9月4日（現地時間）、同社のリサーチチームが「Amazon Simple Email Service」（以下、Amazon SES）の不正使用キャンペーンを発見したと報告した。

　流出したAWS（Amazon Web Services）のアクセスキーを攻撃者が利用し、大規模なフィッシング活動を展開していたことが判明している。

Amazon SESが攻撃者に悪用されるリスクと実態

　アクセスキーは開発環境の設定不備やリポジトリーでの誤公開などによって漏えいすることが多いとされており、今回流出したAWSアクセスキーの経緯は特定されていない。攻撃者は取得したキーを使い、まずはAPIを通じて利用状況を確認する。その後、Amazon SESが持つ「サンドボックス」制限を解除するため、複数のリージョンに対し自動化されているリクエストを送信し、短時間で本番モードへの移行を試みた。こうした多地域同時の操作はこれまでほとんど確認されておらず、新しい試みと分析されている。

　本番モードに移行すると、Amazon SESの送信制限は緩和され、1日当たり5万通のメール送信が可能となる。攻撃者はこの枠を利用し、フィッシングのためのインフラを整備。複数のドメインを新たに認証し、「admin@」「sales@」などの一般的なアドレスを作成した上で、標的となる組織にフィッシングメールを送信している。使用されているドメインの一部は攻撃者自身が保有するものだったが、中には認証方式が不十分な正規ドメインも悪用されていた。

　送信されているフィッシングメールは、2024年の税関連文書を装った内容であり、受信者を外部の不正サイトに誘導する仕組みだった。リンク先は正規のトラフィック解析サービスを経由してリダイレクトされており、従来マーケティング分野で利用される手法が検知回避の目的で転用されていた。この攻撃の背後に特定の既知グループが存在する証拠は見つかっていないが、金銭目的の可能性が高いと分析されている。

　Amazon SESの悪用が単なる迷惑メール送信にとどまらず、組織の評判やビジネスに直接的な損害を与える可能性を持つ点も指摘している。Amazon SESが構成されているアカウントから発信されるメールは、外部からは正規の通信と見分けがつきにくいため、受信者に深刻な誤解を与える危険性がある。こうした活動がAWSに通報されれば、該当アカウントに対し利用制限や調査がされるリスクも生じる。

　防御の観点からは、アクセスキーの漏えいを防ぐ基本的な対策があらためて強調されている。長期間利用されていないキーの利用や、通常とは異なる地域からのアクセスといった挙動は早期に検知する必要がある。Amazon SESを利用しないアカウントにおいて、サービスコントロールポリシーを適用して利用を完全に遮断することが推奨される。Amazon SES関連のAPI呼び出しをCloudTrailで監視し、送信数の急増や新規ドメインの登録といった異常を記録することも有効とされている。

　今回の分析は、クラウドサービスが攻撃の舞台として利用される現実を示している。特にメール送信基盤は不正利用の際、影響が広範囲に及ぶため管理者は利用状況を継続的に監視し、異常を早期に把握する体制を整えることが求められる。