C
月内に
攻撃者がAmazon SES(Simple Email Service)を悪用し、SPF/DKIM/DMARCなどの認証を通過する高度なフィッシングメールを送信…
📌 一言でいうと
攻撃者がAmazon SES(Simple Email Service)を悪用し、SPF/DKIM/DMARCなどの認証を通過する高度なフィッシングメールを送信しています。攻撃者はTruffleHogなどのツールを用いて、GitHubやS3バケットから漏洩したIAMアクセスキーを自動的に収集し、SESへの不正アクセスを行っています。これにより、信頼されたインフラから偽の請求書や巧妙なHTMLテンプレートを用いたメールが送信され、金銭的被害や資格情報の窃取を狙っています。
🏢影響範囲
AWS SESを利用している組織、および信頼された送信元からのメールを過信している全組織
✅該当時の対応
IAM権限を最小権限の原則に基づいて制限し、多要素認証(MFA)を有効にすること。アクセスキーを定期的にローテーションし、GitHubなどの公開リポジトリに機密情報が漏洩していないかスキャンすることを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】信頼できる送信元を装ったフィッシングメールにご注意ください
お疲れさまです。情報システム担当です。
Amazonの正規サービスを悪用し、セキュリティチェックをすり抜けて届く巧妙な偽メール(フィッシングメール)が増加しています。
ご協力をお願いしたいこと:
1. 送信者が知っている相手であっても、不自然な請求書やリンクが含まれている場合は、URLをクリックせずに担当部署へ確認してください。
2. 予期せぬパスワード変更や個人情報の入力を求めるメールには絶対に応答しないでください。
対応期限: 本日中(継続的な注意をお願いします)
お疲れさまです。情報システム担当です。
Amazonの正規サービスを悪用し、セキュリティチェックをすり抜けて届く巧妙な偽メール(フィッシングメール)が増加しています。
ご協力をお願いしたいこと:
1. 送信者が知っている相手であっても、不自然な請求書やリンクが含まれている場合は、URLをクリックせずに担当部署へ確認してください。
2. 予期せぬパスワード変更や個人情報の入力を求めるメールには絶対に応答しないでください。
対応期限: 本日中(継続的な注意をお願いします)
Subject: [Security Alert] Beware of Sophisticated Phishing Emails
Dear employees,
We have observed an increase in sophisticated phishing emails that bypass security filters by exploiting trusted cloud services (Amazon SES).
What we need from you:
1. Be cautious of emails containing unexpected invoices or links, even if the sender appears legitimate. Verify with the relevant department before clicking.
2. Never enter your credentials or personal information into forms linked from unexpected emails.
Deadline: Immediate / Ongoing
Dear employees,
We have observed an increase in sophisticated phishing emails that bypass security filters by exploiting trusted cloud services (Amazon SES).
What we need from you:
1. Be cautious of emails containing unexpected invoices or links, even if the sender appears legitimate. Verify with the relevant department before clicking.
2. Never enter your credentials or personal information into forms linked from unexpected emails.
Deadline: Immediate / Ongoing
件名: 【共有】Amazon SESを悪用したフィッシング攻撃への対応について
お疲れさまです。Amazon SESを悪用したフィッシング攻撃に関する情報共有です。
■ 概要
攻撃者がTruffleHog等のツールで漏洩したIAMアクセスキーを収集し、Amazon SES経由でメールを送信しています。AWSのインフラを利用するため、SPF/DKIM/DMARC等の認証を通過し、レピュテーションベースの遮断を回避する傾向があります。
■ 影響範囲
- AWS IAMアクセスキーを管理している全開発者・運用者
- AWS SESを利用している組織
■ 対応手順
1. IAM権限の再点検を行い、最小権限の原則(Least Privilege)を適用する。
2. 全ての特権アカウントに多要素認証(MFA)を強制適用する。
3. 公開リポジトリ(GitHub等)やS3バケットにアクセスキーがハードコードされていないかスキャンを実施する。
4. アクセスキーの定期的なローテーションを自動化・徹底する。
■ 参考情報
- Kaspersky Threat Intelligence Report
対応優先度: 高
対応期限: 今週中
お疲れさまです。Amazon SESを悪用したフィッシング攻撃に関する情報共有です。
■ 概要
攻撃者がTruffleHog等のツールで漏洩したIAMアクセスキーを収集し、Amazon SES経由でメールを送信しています。AWSのインフラを利用するため、SPF/DKIM/DMARC等の認証を通過し、レピュテーションベースの遮断を回避する傾向があります。
■ 影響範囲
- AWS IAMアクセスキーを管理している全開発者・運用者
- AWS SESを利用している組織
■ 対応手順
1. IAM権限の再点検を行い、最小権限の原則(Least Privilege)を適用する。
2. 全ての特権アカウントに多要素認証(MFA)を強制適用する。
3. 公開リポジトリ(GitHub等)やS3バケットにアクセスキーがハードコードされていないかスキャンを実施する。
4. アクセスキーの定期的なローテーションを自動化・徹底する。
■ 参考情報
- Kaspersky Threat Intelligence Report
対応優先度: 高
対応期限: 今週中
Subject: [Technical Alert] Phishing Campaigns Leveraging Amazon SES
Dear Security Team,
This is a technical update regarding phishing attacks utilizing Amazon SES to bypass email authentication protocols.
■ Overview
Threat actors are using automated bots (based on TruffleHog) to harvest leaked IAM access keys from public sources (GitHub, S3, etc.). By using Amazon SES, they can send emails that pass SPF, DKIM, and DMARC checks, effectively neutralizing reputation-based filtering.
■ Scope
- Organizations managing AWS IAM keys
- Users of Amazon SES
■ Mitigation Steps
1. Audit IAM permissions and enforce the Principle of Least Privilege (PoLP).
2. Enforce Multi-Factor Authentication (MFA) for all IAM users.
3. Scan public repositories and environment files for leaked secrets using tools like TruffleHog or GitLeaks.
4. Implement a strict rotation policy for AWS access keys.
■ Reference
- Kaspersky Threat Intelligence Report
Priority: High
Deadline: End of this week
Dear Security Team,
This is a technical update regarding phishing attacks utilizing Amazon SES to bypass email authentication protocols.
■ Overview
Threat actors are using automated bots (based on TruffleHog) to harvest leaked IAM access keys from public sources (GitHub, S3, etc.). By using Amazon SES, they can send emails that pass SPF, DKIM, and DMARC checks, effectively neutralizing reputation-based filtering.
■ Scope
- Organizations managing AWS IAM keys
- Users of Amazon SES
■ Mitigation Steps
1. Audit IAM permissions and enforce the Principle of Least Privilege (PoLP).
2. Enforce Multi-Factor Authentication (MFA) for all IAM users.
3. Scan public repositories and environment files for leaked secrets using tools like TruffleHog or GitLeaks.
4. Implement a strict rotation policy for AWS access keys.
■ Reference
- Kaspersky Threat Intelligence Report
Priority: High
Deadline: End of this week