CrowdStrike Blog:SMTPの悪用に対抗するためのクラウド強化 | ScanNetSecurity
2023.06.04(日)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

CrowdStrike Blog:SMTPの悪用に対抗するためのクラウド強化

この記事で説明していることは、AWSの責任ではなく、ユーザー側の責任になります。AWSは各種の攻撃を防ぐためにできる限りのことをしていますが、悪質な攻撃を防ぐには、ユーザー自身が責任を持って対処する必要があります。

脆弱性と脅威 脅威動向
 最近のセキュリティ業界では、クラウドアカウント情報の流出が話題になっています。よく目にするのは、コンピューティングリソースを利用してのクリプトマイニングやストレージデータの盗難ですが、脅威の形態はそれだけに留まりません。以前に流出した(AWS、GCP、Azureなどの)クラウドの顧客アカウントの情報を販売するアンダーグラウンドマーケットが存在し、そこで購入されたアカウントがスパムメールやフィッシング攻撃に悪用されています。

 CrowdStrike が保有する大量のデータには、ハッカーや詐欺グループが利用する数多くの地下コミュニティから得たデータも含まれています。脅威インテリジェンスでは、クラウドサービスプロバイダーの顧客の認証情報が販売されており、時にはアクセス保証のようなものがついてくることを指摘しています。このような認証情報を得た攻撃者は、大容量ストレージにアクセスしてデータ詐取を図ったり、大きなコンピューティングリソースにアクセスしてクリプトマイニングなどの攻撃に利用する可能性があります。また、後ほど説明するように、SMTPメールの 1 日あたりの送信クォータを引き上げたアカウントが盗用される場合もあります。

 ここで紹介する情報やテクニックは、メールサービスを提供するどのクラウドプロバイダーにも当てはまりますが、この記事では AWS を中心に説明いたします。このトピックを読む前に、AWS が提供している責任共有モデル(https://aws.amazon.com/compliance/shared-responsibility-model/)について把握しておくことが重要です。この記事で説明していることは、AWS の責任ではなく、ユーザー側の責任になります。AWS は各種の攻撃を防ぐためにできる限りのことをしていますが、悪質な攻撃を防ぐには、ユーザー自身が責任を持って対処する必要があります。これについては、以降のセクションで説明していきます。

AWSにおけるSMTP

 AWS では、アプリケーションのエンドユーザーとのコミュニケーションのために、いくつかの異なるサービスを提供しています。たとえば、メール配信サービスの Simple Email Service(SES)、SMS/プッシュ通知用の Pinpoint などがこれにあたります。

サンドボックス

 新しい AWSアカウントでこれらのサービスを利用し始めるとき、サンドボックスと呼ばれる環境が配置され、不正や悪用を防ぐために、追加の制限が適用されます。AWS のドキュメントによると、以下のような制限が課されます。

1. メールは検証済みのアイデンティティにのみ送信可能

2. 24 時間あたりに送信できるメッセージは最大 200 件

3. 1 秒間に送信できるメッセージは最大 1 件

 つまり、これらの制限によって、「検証済みのアイデンティティに対して少量のメールを送信することが可能で、それ以外の人には送信できない」ようにしています。検証済みのアイデンティティとは、AWSアカウントに登録され承認されたメールアドレスやドメインのことで、基本的には送信者リストは、自分自身または自分の組織に制限されることになります。

 SES のサンドボックスから抜け出るには、手動で AWS にリクエストを送信する必要があります。リクエストは約 24 時間以内に審査・回答されます。この目的は、サービスの悪用を防ぐことです。理論的には、攻撃者があなたのアカウントへのアクセスを得ても、SESサンドボックス内にある場合は、そのアクセスを利用して、あなたのメールアドレス/ドメインから詐欺メールを送信することはできません。

サンドボックス除外

 SESサンドボックスのアカウントに属する認証情報の流出の場合、その障害影響範囲は多少小さくて済みます。それを理解したうえで、正当なビジネス上のニーズに基づいて、サンドボックス制限の除外を要求するとします。たとえば、1 日に 50,000 件、1 秒あたり 150 件のメッセージ送信を許可されたとします。これはユースケースに基づいて承認されるアカウントの代表的な例です。アカウントの制限が緩和されたところで、もしこのアカウントが漏洩、流出していると、地下コミュニティで売買される際の価値が上がります。これは、攻撃者が環境にアクセスする際にもたらす影響の範囲が大幅に拡大するためです。

地下取引

 SESサンドボックスから除外の AWSアカウントは、大量のスパム攻撃や大規模なフィッシング攻撃を企てる犯罪者にとっては大変貴重です。アカウント情報を購入した犯罪者は、Amazon に察知され、その AWSアカウントを悪事に利用できなくなる前に、できるだけ早く攻撃を開始して、より多くの利益を得ようとするでしょう。

 送信可能なメッセージ数を、1 日 50,000 件、1 秒あたり 150 件に拡大したアカウントの情報が盗まれれば、闇取引の材料になるかもしれません。

影響

 あなたのアカウントの認証情報が売られてしまった場合は、甚大な影響が及ぶでしょう。大量のスパム/フィッシング攻撃が行われた場合に生じる影響は、以下のように多岐にわたります。

・AWS によるメール関連サービスの一時差し止め(SES、SNS、Pinpointなど)

・AWS によるアカウントの完全停止

・企業ドメインの評価の失墜

・メールスパムサービスにより企業ドメインが大規模にブロックされる

・あなたの AWSアカウントへの多額の費用請求

 これらすべてのシナリオは、あらゆる規模の企業に大きな被害をもたらす可能性があります。しかし、悪質な活動を防御するうえで必要な措置なのです。

防衛

 あなたのアカウントが SESサンドボックス除外で、メール送信の制限が緩和された状態であるとします。その場合、この種の犯罪を防御する最良の方法とは何でしょうか。その答えは、情報の流出を防ぐことと、流出した場合の障害影響範囲を制限することの 2 つです。

 AWSアカウントの「情報流出防止」は重大なテーマです。それについては、IAM のベストプラクティスに関する AWS による既存のドキュメントを参照していただき、ここでは認証情報が漏洩した後の影響を制限することに焦点を当てることにします。

障害影響範囲を制限する

 誰も侵害と無縁ではいられません。ですから、適切な検知機能を備え、環境への侵害がもたらす障害影響範囲を制限することが最善策となります。ここでは、AWS環境を安全に構築する際に考慮すべき点をいくつか紹介します。

1. 共有責任モデルにおける自分の責任について理解する。

2. AWS Organizations を利用して、ワークロード/プロジェクト/環境を別々の AWSアカウントに分離する。

3. 環境へのアクセスを委任する際には、最小権限の原則に従う。

4. SES送信承認ポリシーを利用して、メール送信者のアイデンティティに多層的なセキュリティを施す。

5. SES では、ドメイン全体ではなく、個別のメールアドレスを検証することを検討する。

6. SNS を利用したバウンス通知、苦情通知、配信通知を設定して、不審な動作があった場合に通知を受けられるようにする。

7. CloudTrail を使用して、複数のリージョンで ses:GetSendQuota への API 呼び出しを監視する。これは、攻撃者が、SES のサンドボックスから解除されたリージョンを特定しようと試みる可能性があるためです。このような手口は実際の攻撃でも確認されており、そのようなケースに関する文書も公開されています。

8. SES の送信者評価が損なわれないように監視する。

9. 特定の条件でメール送信を自動的に一時停止するようにインフラストラクチャを設定する。

10. あなたの AWS認証情報が売られていないか、犯罪者用フォーラムを監視する。(CrowdStrike Falcon X Recon は、アンダーグラウンドマーケットや制限されたウェブサイトに潜むデジタルリスクを探り出します)

 これらのヒントは、お客様の環境内の攻撃者がもたらす障害影響範囲を制限するための第一歩として役立ちますが、それで十分というわけではありません。セキュリティは継続的なプロセスであり、決して現状に満足すべきではありません。攻撃者らは、業界の変化に対応すべく、常に進化を続けています。つまり、実世界で何が起こっているのかを判断するには、公開されている侵害関連のデータだけに頼るのではなく、あらゆる情報源を考慮して、新出の脅威を正しく認識し、監視する必要があるのです。

追加のリソース

・CrowdStrike の製品紹介ページでは、パワフルでクラウドネイティブな CrowdStrike Falconプラットフォームについて説明しています。

CrowdStrike Falcon Prevent の無料トライアル版(フル機能)を入手して、真の次世代型AV が、今日の非常に高度な脅威にどのように対抗できるかをご確認ください。

*原文は CrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/how-to-harden-your-cloud-against-smtp-abuse/
《Spencer Gietzen (CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

OpenSSL の ASN.1 オブジェクト識別子変換に処理時間遅延の問題 画像

OpenSSL の ASN.1 オブジェクト識別子変換に処理時間遅延の問題
セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性 画像

セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性
OSSのノーコード・ローコード開発ツール「プリザンター」にXSSの脆弱性 画像

OSSのノーコード・ローコード開発ツール「プリザンター」にXSSの脆弱性
みずほ信託銀行がフィッシングメールに注意喚起 画像

みずほ信託銀行がフィッシングメールに注意喚起
Starlette にディレクトリトラバーサルの脆弱性 画像

Starlette にディレクトリトラバーサルの脆弱性
ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性 画像

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性

インシデント・事故 記事一覧へ

読者から神奈川新聞社に寄せられた情報を家族に漏えい、社内ルールに基づき厳正に対処 画像

読者から神奈川新聞社に寄せられた情報を家族に漏えい、社内ルールに基づき厳正に対処
厚生労働省のサーバを経由し約10万件の迷惑メールを送信 画像

厚生労働省のサーバを経由し約10万件の迷惑メールを送信
UCCグループのネット通販「フーヅフリッジ」ウェブサイトが改ざん被害、注文情報のダウンロードも判明 画像

UCCグループのネット通販「フーヅフリッジ」ウェブサイトが改ざん被害、注文情報のダウンロードも判明
送付を希望しない相手に通知文書を2度にわたり誤送付、「市からの補償」名目で私金を渡す不適切な事務も発覚 画像

送付を希望しない相手に通知文書を2度にわたり誤送付、「市からの補償」名目で私金を渡す不適切な事務も発覚
モンテディオ山形で誤送信、送信先リストを「宛先に追加」ではなく「メールに添付」 画像

モンテディオ山形で誤送信、送信先リストを「宛先に追加」ではなく「メールに添付」
屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」 画像

屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」

調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘 画像

ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘
中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023 画像

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023
ランサムウェア攻撃の 93%がバックアップストレージを標的に 画像

ランサムウェア攻撃の 93%がバックアップストレージを標的に
IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 画像

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説
「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料 画像

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料
AI は脅威インテリジェンスを生成できるか、NEC技術者検証 画像

AI は脅威インテリジェンスを生成できるか、NEC技術者検証

研修・セミナー・カンファレンス 記事一覧へ

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演 画像

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演
東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣 画像

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」 画像

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催 画像

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催
サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート 画像

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催 画像

今年は対面形式限定、11/8, 9「CODE BLUE 2023」開催

製品・サービス・業界動向 記事一覧へ

AI脆弱性診断サービス「ImmuniWeb Neuron」提供、回数無制限で利用可能 画像

AI脆弱性診断サービス「ImmuniWeb Neuron」提供、回数無制限で利用可能
6月4日まで「個人情報を考える週間」丹野委員長コメント 画像

6月4日まで「個人情報を考える週間」丹野委員長コメント
脆弱性診断自動化ツール「AeyeScan」アップデート、類似判定精度を向上 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、類似判定精度を向上
GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか 画像

GMOイエラエ、フィンテック企業の OSINT サービス事例 ~ パスワード運用ルール見直し ほか
AeyeScan blog 第2回「AIプログラミング編」 画像

AeyeScan blog 第2回「AIプログラミング編」
長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力 画像

長野県警から感謝状と盾を受領、GMOイエラエがIoTフォレンジック技術で捜査協力

おしらせ 記事一覧へ

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Scan PREMIUM 創刊24周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊24周年記念キャンペーン実施中
ScanNetSecurity 創刊24周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊24周年御礼の辞(上野宣)
【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×