SentinelOneは2月15日(米国時間)、「SNS Sender|Active Campaigns Unleash Messaging Spam Through the Cloud - SentinelOne」において、Amazon SNS(Amazon Simple Notification Service)を悪用して大量のショートメッセージサービス(SMS: Short Message Service)スパムを送信するスクリプト「SNS Sender」を発見したとして、注意を呼び掛けた。このスクリプトの作成者は「ARDUINO_DAS」と呼ばれており、フィッシング関連キットを多数開発しているとされる。

  • SNS Sender|Active Campaigns Unleash Messaging Spam Through the Cloud - SentinelOne

    SNS Sender|Active Campaigns Unleash Messaging Spam Through the Cloud - SentinelOne

「SNS Sender」の概要

SentinelOneによるとSNS SenderはPythonで記述されたスクリプトで、Amazon SNSを悪用してSMSスパムを送信する初めてのスクリプトとされる。スクリプトの実行には以下の情報を引数に与える必要がある。

  • 「コロン(:)」で区切られたAWSアクセスキー、シークレット、リージョンの一覧を含むファイル名
  • 標的の電話番号一覧を含むファイル名
  • 送信者ID
  • メッセージの内容

SentinelOneはこれら情報の中で「送信者ID」の指定が興味深いと指摘。AWSのドキュメント「Requesting sender IDs for SMS messaging with Amazon SNS - Amazon Simple Notification Service」によると、この変数はオプションであり一部の国でサポートされている。米国では送信者IDをサポートしていないが、インドでは必須となっている。つまり、このスクリプトの開発者はこの仕様を詳しく理解しておらず、送信者IDが一般的に必要とされる国に居住している人物の可能性がある。

開発者「ARDUINO_DAS」の正体

SentinelOneは開発者とみられるARDUINO_DASについても調査を実施している。それによると、この名前は150以上のフィッシングキットのハンドルネームに使用されているという。そのキットの半数以上はアメリカ合衆国郵便公社(USPS: United States Postal Service)をテーマにしているとみられる。

このハンドルネームを使用していた開発者は、2023年に購入者への詐欺の疑いからハンドルネームの使用を中止した可能性があるという。しかしながら、最近のフィッシングキットからも発見されているため、SentinelOneは最近のものはフィッシングキットを使用する脅威アクターによる作為的なものではないかと指摘している。

Amazonの防衛策

SentinelOneは脅威アクターにとってAmazon SNSの使用はチャレンジだと説明している。Amazon SNSからSMSメッセージの送信を開始すると、アカウントはSMSサンドボックス内に置かれる。SMSサンドボックスには制限がかけられており、通常は認証済みの10件の電話番号にだけ送信できる。この制限を解除するにはアカウントをサンドボックスから移動する必要があり、移動にはAWSサポートチームの承認が必要となる(参考:「SMS sandbox - Amazon Simple Notification Service」)。

Amazonはユースケースがポリシーに一致しない場合はリクエストを承認できない場合があるとしており、スパムの送信は認められないと考えられる。そのため、嘘のユースケースをリクエストに記載することになるが、SNS Senderの利用が広まれば対策が講じられることが予想される。