no-reply@signin.awsのメールが本物だった
メールボックスを確認すると「Requirement: Create a new Amazon Web Services password(新しいAWSパスワードの作成が必要です)」というメールが来ていた。差出人は「no-reply@signin.aws」。よくできた攻撃メールだと思ったのだけど、本物だった。こんな内容だ。
AmazonとAWSに同じID、同じパスワードでアクセスしている人に、パスワード変更を指示している。
console.aws.amazon.comからAWSにサインインすると、パスワード変更画面に遷移する(のでその時に対処すればいい)。
よくある内容だし「.aws」とか見慣れないドメインのアドレスから来てるし、偽物っぽいなと思ったのだ。でも.awsは2016年3月25日にちゃんと登録されてるAmazonの所有する最上位ドメイン(TLD)だった。
よくある内容だけど、あれっと思ったのは、メール内リンク先での作業を求めてるわけではなかったことだ。次回AWSコンソールにアクセスするとパスワード変更プロンプトが表示されますよ的なことだけを言っている。現在のパスワードを取得させるにもパスワードを変更させるにも、誘導先はメール内リンク経由で偽物のサイトというのが常道なのに、これじゃ悪戯にならないのでは、と。
AWS will never email you and ask you to disclose your password. You will see the prompts to create a new password and register a new MFA device only when you visit the AWS Console at https://console.aws.amazon.com which will direct you to our secure sign-in experience hosted on the signin.aws subdomain.
実際にAWSコンソールにサインインすると、パスワード変更を求められた。メール内URLからではなく、いつも使っているブックマークからアクセスしたので、アクセス先を誤ってることもないはずだ。もしかして本物だったかと思って調べたら「.aws」はちゃんと登録されたTLDだった。
.aws is a Brand TLD delegated to the Root Zone in ICANN's New gTLD Program on 25 March 2016. The registry operator is Amazon.
しかし.awsは7年近く前に取っていたとしても、.awsドメインのメールアドレスなんて使われてたかな。学習系サイトがそうだったかもと思ったけど、これも「aws.training」で「training.aws」ではなかった。ブランド防衛用に取ってるだけかとも思うけど、こうしてメールに使われてるわけだし、2016年時点では防衛用取得だけのつもりだったけどちゃんと使うことにしたとかなのかな。