CrowdStrike Blog：SMTPの悪用に対抗するためのクラウド強化

　最近のセキュリティ業界では、クラウドアカウント情報の流出が話題になっています。よく目にするのは、コンピューティングリソースを利用してのクリプトマイニングやストレージデータの盗難ですが、脅威の形態はそれだけに留まりません。以前に流出した（AWS、GCP、Azureなどの）クラウドの顧客アカウントの情報を販売するアンダーグラウンドマーケットが存在し、そこで購入されたアカウントがスパムメールやフィッシング攻撃に悪用されています。

　CrowdStrike が保有する大量のデータには、ハッカーや詐欺グループが利用する数多くの地下コミュニティから得たデータも含まれています。脅威インテリジェンスでは、クラウドサービスプロバイダーの顧客の認証情報が販売されており、時にはアクセス保証のようなものがついてくることを指摘しています。このような認証情報を得た攻撃者は、大容量ストレージにアクセスしてデータ詐取を図ったり、大きなコンピューティングリソースにアクセスしてクリプトマイニングなどの攻撃に利用する可能性があります。また、後ほど説明するように、SMTPメールの 1 日あたりの送信クォータを引き上げたアカウントが盗用される場合もあります。

　ここで紹介する情報やテクニックは、メールサービスを提供するどのクラウドプロバイダーにも当てはまりますが、この記事では AWS を中心に説明いたします。このトピックを読む前に、AWS が提供している責任共有モデル（https://aws.amazon.com/compliance/shared-responsibility-model/）について把握しておくことが重要です。この記事で説明していることは、AWS の責任ではなく、ユーザー側の責任になります。AWS は各種の攻撃を防ぐためにできる限りのことをしていますが、悪質な攻撃を防ぐには、ユーザー自身が責任を持って対処する必要があります。これについては、以降のセクションで説明していきます。

AWSにおけるSMTP

　AWS では、アプリケーションのエンドユーザーとのコミュニケーションのために、いくつかの異なるサービスを提供しています。たとえば、メール配信サービスの Simple Email Service（SES）、SMS/プッシュ通知用の Pinpoint などがこれにあたります。

サンドボックス

　新しい AWSアカウントでこれらのサービスを利用し始めるとき、サンドボックスと呼ばれる環境が配置され、不正や悪用を防ぐために、追加の制限が適用されます。AWS のドキュメントによると、以下のような制限が課されます。

1. メールは検証済みのアイデンティティにのみ送信可能

2. 24 時間あたりに送信できるメッセージは最大 200 件

3. 1 秒間に送信できるメッセージは最大 1 件

　つまり、これらの制限によって、「検証済みのアイデンティティに対して少量のメールを送信することが可能で、それ以外の人には送信できない」ようにしています。検証済みのアイデンティティとは、AWSアカウントに登録され承認されたメールアドレスやドメインのことで、基本的には送信者リストは、自分自身または自分の組織に制限されることになります。

　SES のサンドボックスから抜け出るには、手動で AWS にリクエストを送信する必要があります。リクエストは約 24 時間以内に審査・回答されます。この目的は、サービスの悪用を防ぐことです。理論的には、攻撃者があなたのアカウントへのアクセスを得ても、SESサンドボックス内にある場合は、そのアクセスを利用して、あなたのメールアドレス/ドメインから詐欺メールを送信することはできません。

サンドボックス除外

　SESサンドボックスのアカウントに属する認証情報の流出の場合、その障害影響範囲は多少小さくて済みます。それを理解したうえで、正当なビジネス上のニーズに基づいて、サンドボックス制限の除外を要求するとします。たとえば、1 日に 50,000 件、1 秒あたり 150 件のメッセージ送信を許可されたとします。これはユースケースに基づいて承認されるアカウントの代表的な例です。アカウントの制限が緩和されたところで、もしこのアカウントが漏洩、流出していると、地下コミュニティで売買される際の価値が上がります。これは、攻撃者が環境にアクセスする際にもたらす影響の範囲が大幅に拡大するためです。

地下取引

　SESサンドボックスから除外の AWSアカウントは、大量のスパム攻撃や大規模なフィッシング攻撃を企てる犯罪者にとっては大変貴重です。アカウント情報を購入した犯罪者は、Amazon に察知され、その AWSアカウントを悪事に利用できなくなる前に、できるだけ早く攻撃を開始して、より多くの利益を得ようとするでしょう。

　送信可能なメッセージ数を、1 日 50,000 件、1 秒あたり 150 件に拡大したアカウントの情報が盗まれれば、闇取引の材料になるかもしれません。

影響

　あなたのアカウントの認証情報が売られてしまった場合は、甚大な影響が及ぶでしょう。大量のスパム/フィッシング攻撃が行われた場合に生じる影響は、以下のように多岐にわたります。

・AWS によるメール関連サービスの一時差し止め（SES、SNS、Pinpointなど）

・AWS によるアカウントの完全停止

・企業ドメインの評価の失墜

・メールスパムサービスにより企業ドメインが大規模にブロックされる

・あなたの AWSアカウントへの多額の費用請求

　これらすべてのシナリオは、あらゆる規模の企業に大きな被害をもたらす可能性があります。しかし、悪質な活動を防御するうえで必要な措置なのです。

防衛

　あなたのアカウントが SESサンドボックス除外で、メール送信の制限が緩和された状態であるとします。その場合、この種の犯罪を防御する最良の方法とは何でしょうか。その答えは、情報の流出を防ぐことと、流出した場合の障害影響範囲を制限することの 2 つです。

　AWSアカウントの「情報流出防止」は重大なテーマです。それについては、IAM のベストプラクティスに関する AWS による既存のドキュメントを参照していただき、ここでは認証情報が漏洩した後の影響を制限することに焦点を当てることにします。

障害影響範囲を制限する

　誰も侵害と無縁ではいられません。ですから、適切な検知機能を備え、環境への侵害がもたらす障害影響範囲を制限することが最善策となります。ここでは、AWS環境を安全に構築する際に考慮すべき点をいくつか紹介します。

1. 共有責任モデルにおける自分の責任について理解する。

2. AWS Organizations を利用して、ワークロード/プロジェクト/環境を別々の AWSアカウントに分離する。

3. 環境へのアクセスを委任する際には、最小権限の原則に従う。

4. SES送信承認ポリシーを利用して、メール送信者のアイデンティティに多層的なセキュリティを施す。

5. SES では、ドメイン全体ではなく、個別のメールアドレスを検証することを検討する。

6. SNS を利用したバウンス通知、苦情通知、配信通知を設定して、不審な動作があった場合に通知を受けられるようにする。

7. CloudTrail を使用して、複数のリージョンで ses:GetSendQuota への API 呼び出しを監視する。これは、攻撃者が、SES のサンドボックスから解除されたリージョンを特定しようと試みる可能性があるためです。このような手口は実際の攻撃でも確認されており、そのようなケースに関する文書も公開されています。

8. SES の送信者評価が損なわれないように監視する。

9. 特定の条件でメール送信を自動的に一時停止するようにインフラストラクチャを設定する。

10. あなたの AWS認証情報が売られていないか、犯罪者用フォーラムを監視する。（CrowdStrike Falcon X Recon は、アンダーグラウンドマーケットや制限されたウェブサイトに潜むデジタルリスクを探り出します）

　これらのヒントは、お客様の環境内の攻撃者がもたらす障害影響範囲を制限するための第一歩として役立ちますが、それで十分というわけではありません。セキュリティは継続的なプロセスであり、決して現状に満足すべきではありません。攻撃者らは、業界の変化に対応すべく、常に進化を続けています。つまり、実世界で何が起こっているのかを判断するには、公開されている侵害関連のデータだけに頼るのではなく、あらゆる情報源を考慮して、新出の脅威を正しく認識し、監視する必要があるのです。

追加のリソース

・CrowdStrike の製品紹介ページでは、パワフルでクラウドネイティブな CrowdStrike Falconプラットフォームについて説明しています。

・CrowdStrike Falcon Prevent の無料トライアル版（フル機能）を入手して、真の次世代型AV が、今日の非常に高度な脅威にどのように対抗できるかをご確認ください。

＊原文は CrowdStrike Blog サイト掲載：https://www.crowdstrike.com/blog/how-to-harden-your-cloud-against-smtp-abuse/