電子メールセキュリティの米アバナン（Avanan）による最新の調査報告によれば、昨今の脅威アクターらはAmazon Web Services（AWS）の合法性を利用してフィッシングサイトを作成、顧客を誘導して知らないうちに認証情報を入力させているという。

「インターネットでどこかのサイトを利用しているなら、（そのサイトに）何らかの形でAWSが関わっている可能性は十分にあります」。アバナンのリサーチャー兼アナリスト、ジェレミー・フックス（Jeremy Fuchs）氏が書いている。

AWSを使えば無料でWebページを構築、ホストすることが可能だ。コーディングの経験がほとんどなかったとしても、ハッカーがAWSでフィッシングページを作成することは簡単だという。同プラットフォームは最も広く使われているストレージ／ホスティングソリューションの一角だ。

「スタティック・エクスプレスウェイ」の成功

調査報告では、AWSなどの正規のサービスを「受信トレイの中に（フィッシングメールを）運んでもらうピギーバック輸送」として利用する攻撃が大幅に増加しているという。「スタティック・エクスプレスウェイ」（Static Expressway：静的な高速アクセス）と名付けられた手口だ。

何も知らないユーザーは、AWSアプリケーションの正規のドメインでホストされている攻撃者の会社から標準的なパスワード期限切れメール受け取る。URLをクリックしてしまうと、現れる画面ではURLバーにそのドメインが表示されており、会社のロゴがあり、Eメールが予め作成されている状態だ。

「（セキュリティに阻まれず）受信トレイにたどり着く簡単な方法です。エンドユーザーの労力も軽いものです」。フックス氏が書いている。被害者にさせなくてはならないのはパスワードの入力だけだ。

この手口は通常、ハッカー側に有効だ。フィッシングメールが送られてくるのは正規のドメインであり、AWSから送られてきたものをブロックする静的ソリューションは存在しない。Eメールの許可リストやブロックリストは、Eメールのコンテンツが安全なものか、危険である可能性があるかを判断する静的なサービスだ。

「これらのサービスが判断するのは、要はあるWebサイトが安全かどうかです。Amazon Web Servicesは常に安全であるとマークされています」。氏は述べている。「ブロックするにはあまりにも大手だし、あまりにも普及しています。当社ではGoogleやQuickBooks、PayPalをはじめ、多くのサービスでこうした例を見てきました」

フィッシングを補足するには

フックス氏はITやセキュリティの専門家に向けて、こうしたフィッシングの手口に対抗するためのTipsをいくつか紹介している。1つには、複数の要素を検討するAIを導入することでEメールの性質を判断することが可能だという。また、メールの内容を常に確認し、リンクの上にカーソルを合わせて先に進む前に行き先のURLを確認することも重要だとした。エンドユーザーであれば、Eメールが正規のものであるかどうかをIT部門に問い合わせることもできる。

AWSを利用したフィッシングキャンペーンが成功しているのは、このドメインに対しては固定的な（静的な）ソリューションが無効なためだ。「ブロックリストや許可リストだけに頼ってはいけません。ハッカーが正規のサイトを都合よく利用している昨今ではなおさらです」。フックス氏は述べている。

https://www.sdxcentral.com/articles/news/new-phishing-attacks-exploit-aws/2022/08/