2025年Amazonを襲う多重サイバー攻撃:AIからAWSまで、深刻化する情報流出リスク
ニュース要約: 2025年、AmazonはAI開発ツール(Amazon Q)への不正コード挿入や、AWSインフラ(SES)を悪用した大規模フィッシング詐欺など、多層的なサイバー攻撃に直面している。特に年末商戦期にはアカウント乗っ取りが急増し、顧客情報流出リスクが深刻化。Amazon利用者に対し、パスワード変更と二段階認証の徹底が強く求められている。
2025年、Amazonを襲う多重サイバー攻撃の脅威:AIからAWSインフラまで、顧客情報流出リスクが深刻化
【ワシントン、東京】 世界最大のEコマース・プラットフォームであるAmazonが、2025年に入り、その巨大なデジタルインフラを標的とした多層的なサイバー攻撃とフィッシング詐欺に直面し、利用者および企業のセキュリティ懸念が深刻化している。「amazon 攻撃」は、単なる個人アカウントの乗っ取りに留まらず、AI開発ツールやクラウド基盤(AWS)を悪用する巧妙な手口へと進化しており、顧客情報の流出リスクが高まっている。
特に年末商戦期である11月は、ブラックフライデーに乗じたフィッシング詐欺が急増。個人ユーザーだけでなく、AWSを利用する数千の企業にも影響が及ぶ事態となっており、デジタル社会の信頼性維持に向けたAmazonの防御体制が試されている。
1. 開発環境を狙う新たな脅威:AIエージェントへの不正コード挿入
従来のサイバー攻撃がユーザーの端末やアカウントを直接狙うのに対し、今年7月に発覚した事件は、Amazonのシステム開発環境そのものを標的とした点で注目される。
問題となったのは、Amazonが提供するAIコーディングエージェント「Amazon Q」だ。GitHub経由で「lkmanka58」と名乗るハッカーが、未承認のコードを挿入。このコードには、開発環境やクラウドリソースのデータを消去するコマンドが含まれていたという。幸い、顧客データの流出は確認されなかったものの、開発者向けツールに悪意あるコードが仕込まれた事実は、サプライチェーン攻撃の新たな脆弱性を示唆している。Amazonは迅速に問題のバージョンを修正したが、自社製品の信頼性に関わる重大なインシデントとして、業界内で波紋を広げた。
2. AWSインフラ悪用:SES経由の大規模フィッシング
さらに深刻なのは、Amazonの提供するクラウドインフラストラクチャ自体が、攻撃者の武器として悪用されている事例である。2025年5月以降、同社のメール配信サービス「Amazon SES(Simple Email Service)」が悪用され、大規模なフィッシング攻撃のインフラとして機能していたことが判明した。
侵害されたAWS認証情報を利用し、攻撃者は1日あたり5万件を超える悪意あるメールを送信。フィッシング攻撃の対象となった顧客からは、メールアドレスや金融情報を含む個人情報が窃取された可能性がある。大規模な被害件数は公表されていないが、信頼性の高いAmazonのインフラから送られるメールであるため、ユーザーが詐欺を見抜くことが極めて困難であったと見られている。
3. ホリデーシーズンに急増するアカウント乗っ取りと情報流出
Amazonにとって最大の商機である11月のブラックフライデー期間中には、「amazon 攻撃」の古典的な手法であるフィッシング詐欺とアカウント乗っ取りが例年以上に増加した。偽の配送通知やアカウント問題に関するメッセージが大量に送信され、個人情報やクレジットカード情報の窃取が試みられた。
背景には、2025年に情報窃取型マルウェアによりGoogleやAmazonなど1.8億件ものパスワードが流出した事件がある。この大規模なパスワード流出により、乗っ取り詐欺のリスクが飛躍的に高まっており、FBIなどもユーザーに対して緊急の注意喚起を行っている。
4. AWSの大規模障害とサービス停止の波紋
直接的なサイバー攻撃の確証はないものの、Amazonの信頼性を揺るがしたのが、10月20日に発生したAWSの大規模障害である。米東部リージョン(US-EAST-1)での運用上の構成異常が原因とされたが、世界中で数千のWebサービスが断続的に停止。日本企業も間接的に影響を受け、日経夕刊によれば2500社以上が業務に支障をきたした。
現時点ではサイバー攻撃によるものとは断定されていないが、デジタルインフラの単一障害点(SPOF)の脆弱性が浮き彫りとなり、万が一、基幹システムへの組織的なamazon 攻撃が発生した場合、その影響が計り知れないことが改めて示された。
5. 利用者に求められる緊急対策:多要素認証の徹底を
一連の「amazon 攻撃」に対し、Amazonは認証情報の監視強化や、顧客へのセキュリティ警告メール送信で対応している。しかし、被害を最小限に抑えるためには、利用者側の緊急対策が不可欠である。
セキュリティ専門家は、まずアカウントのパスワードを直ちに複雑なものに変更し、二段階認証(2FA)を必ず設定するよう強く推奨している。特に、SMS認証よりも安全性が高いとされる認証アプリ(Google Authenticatorなど)の使用が効果的だ。また、不審なメールのリンクはクリックせず、Amazonの注文履歴やクレジットカード明細を細かくチェックすることが、不正請求や情報流出を防ぐための最低限の防御策となる。
Amazonが提供するデジタルインフラは、世界のビジネスと生活の基盤となっている。2025年に多発した一連のインシデントは、そのグローバルプラットフォームの信頼性維持に向け、Amazonおよび利用者、そしてAWSを利用する全ての企業に対し、セキュリティ対策の抜本的な見直しを迫っている。(経済部:サイバーセキュリティ班)