ICEフィッシング:詐欺師が「ICEを支援」メールで認証情報を盗む
ハッカーがEmmaやSendGridなどのメールマーケティングプラットフォームの利用者を標的とし、政治的にセンセーショナルな「Support ICE」ボタン追加を装ったフィッシングメールを送信し、アカウント資格情報を窃取するソーシャルエンジニアリング攻撃が確認されている。
キーポイント
政治的動機を利用した高度なフィッシング
攻撃者は「Support ICE」寄付ボタンの自動追加を脅しとして提示し、ユーザーの政治的反発や恐怖心を煽ることで、急いでログインして設定を無効化させるよう仕向けている。
主要メールプラットフォームの利用者が標的
Emma(Marigold社)やSendGridなどのエンタープライズ向けメールサービス利用者(大学、非営利団体、企業など)が狙われており、EmmaのCEOは当該メールがフィッシングであることを否定している。
コンプライドアカウントからの送信による信頼性向上
攻撃者は既に侵害したユーザーのアカウントからメールを送信しているため、送信元が信頼できる組織内からのもののように見え、従来のフィッシングよりも検出が困難になっている。
SendGridアカウントの不正利用による偽装
ハッカーは他のSendGridユーザーのアカウントを乗っ取り、そのインフラと信頼性を悪用してフィッシングメールを送信しているため、技術的に「本物のSendGridメール」として認識される。
政治的・文化的トピックを活用した高度なフィッシング
BLM、LGBTQ+権利、ICE(移民・税関取り締局)、スペイン語切替など、アメリカの文化的対立軸を深く理解したテーマを用い、政治的な巧妙さを示している。
Emmaプラットフォームを介した資格窃取サイトの検知
Survey Monkey経由で送信された「myemma@help-myemma.app」からのメールには、設定ボタンをクリックすると資格情報を窃取する危険なサイト(app-e2maa.net)へリダイレクトされるリンクが含まれており、Chromeはこれを危険なサイトとして警告している。
影響分析・編集コメントを表示
影響分析
このニュースは、サイバーセキュリティ脅威が単なる技術的搾取から、社会的・政治的文脈を利用した心理的操縦へと進化していることを示唆しています。特にエンタープライズ向けSaaSプラットフォームの利用者は、攻撃者がインフラを乗っ取ることで信頼性を偽装できるため、従来のセキュリティ対策だけでなく、文脈的な不審さへの警戒感が求められます。
編集コメント
政治的な対立感情を悪用したフィッシングは、技術的防御だけでは防げない「人間側の脆弱性」を突く手口です。組織は従業員に対し、政治的にセンセーショナルな内容のシステム通知には特に注意喚起を行う必要があります。
image長年サービスを提供しているメールマーケティングプラットフォームの顧客が、送信するすべてのメールに「『ICEを支援』寄付ボタン」が自動挿入されると告げるフィッシングキャンペーンの標的となっています。この手口は、人々のICEへの嫌悪感につけ込み、ユーザーが設定を無効化しようと急いでアカウントにログインするよう仕向けることを狙ったものです。実際には、顧客がユーザー名とパスワードをハッカーに明け渡す結果となります。
この動きは、ハッカーが企業向けソフトウェア会社の顧客を、極めて議論を呼ぶ政治的な内容のメールで標的にしていることを示しています。この詐欺は、老舗のメールマーケティングプラットフォーム「Emma」の顧客を狙ったもので、顧客にはOrange Theory、イェール大学、テキサスA&M大学、嚢胞性線維症財団、ドッグフィッシュ・ヘッド・ブルワリー、YMCAなどが名を連ねます。404 MediaはEmmaの顧客からこのフィッシングメールの写しを転送されました。
フィッシングメールにはこう書かれています。「米国移民関税執行局(ICE)支援への取り組みの一環として、当プラットフォームを通じて送信される全メールのフッターに『ICEを支援』寄付ボタンを追加します」「このボタンは来週から、すべての送信メールに自動的に表示されます […] お客様のアカウントから送信される全メールに、このICE支援フッター要素が含まれます […] この変更は、当プラットフォームの社会的責任への取り組みを示すものです」。さらにメールは、この機能をオプトアウト(解除)可能であること、「プラットフォーム全体でのこの取り組みを実施するにあたり、ご理解いただき感謝申し上げます」と付け加えています。
imageEmmaを所有するMarigoldのCEO、リサ・マイヤーは404 Mediaに対し、同社は「このような内容を公開することは絶対にありません。これは極めて一般的なフィッシングの手口です」と述べました。
マイヤーの指摘は正しく――他のメール配信サービスの顧客も最近、同様の攻撃の標的となっています。1月には、プログラマーのフレッド・ベネンソンが、別のメールマーケティングサービス「SendGrid」のユーザーを狙ったフィッシングメールを受け取ったことを報告しました。ベネンソンが受け取ったメールの少なくとも1通は、同じ「ICE支援ボタン」という表現を使い、件名は「ICE支援イニシアチブ」となっていました。
「米国政治に少しでも関心があれば、これが本物のメールだったらどれほど巧妙に人を怒らせるかおわかりでしょう」と、ベネンソンはこのメールに関するブログ記事で記しています。「このフィッシングキャンペーンは、ソーシャルエンジニアリングがいかに高度化したかを示す興味深い事例です。ハッカーは、ナイジェリアの419詐欺のような手口から進化し、アメリカの政治的意識を巧みに利用するよう設計されたメッセージを、専門家に向けて慎重に送りつけるようになりました。オプトアウトボタンが罠なのです」。
SendGridのケースでは、ベネンソンは、メールが他のSendGridユーザーアカウントから送信されていたため「本物」のように見えたことを突き止めました。つまり、ハッカーがSendGridユーザーのアカウントを乗っ取り、そのアカウントを使ってSendGridのインフラストラクチャを利用してフィッシングメールを送信したのです。「技術的には、SendGridのプラットフォームを通じ、かつ顧客の(良好な)評判を利用して送信された、本物のSendGridメールですから、本物のように見えるのです。ただ、送信者が悪意のある人物であり、ドメインも不正なものだというだけです」と彼は記しています。
ICEを題材にしたフィッシングメールに加え、ベネンソンは「SendGridが全メールにプライドをテーマにしたフッターを追加する」という内容のメールや、「アカウントから送信される全メールに、ジョージ・フロイドとブラック・ライヴズ・マター運動を称える記念テーマを付加する」という別のメールも受け取っています。
「ここで披露されている政治的駆け引き(BLM、LGBTQ+の権利、ICE、移民不安をあおるスペイン語への切り替えに至るまで)は、アメリカ社会の文化的な断層線を深く理解している人物が関与していることを示唆しています」とベネンソンは書いています。
imageEmmaを装ったメールは、「myemma@help-myemma.app」というメールアドレスからSurveyMonkeyを通じて送信されました。ユーザーが機能をオプトアウトできる「設定」ボタンをクリックすると、認証情報を盗むために設計された、ありきたりな外見のサイト(app-e2maa.netでホスト)へ誘導されます。404 Mediaがこのメールを確認した時点では、Chromeはすでにこれを「危険なサイト」として検出し、ユーザーに訪問しないよう警告を表示していました。
原文を表示
imageClients of a long-running email marketing platform are getting targeted with a phishing campaign telling them that their emails would begin automatically inserting a “‘Support ICE’ donation button” into every email they send. The strategy suggests that scammers are trying to capitalize on people’s revulsion to ICE by coming up with strategies that would cause users to quickly log into their accounts to disable the setting. In reality, clients would be revealing their username and password to hackers.
The move indicates that hackers are targeting clients of enterprise software companies with extremely controversial political emails. The scam targeted customers of Emma, a long-running email marketing platform whose clients include Orange Theory, Yale University, Texas A&M University, the Cystic Fibrosis Foundation, Dogfish Head Brewery, and the YMCA, among others. 404 Media was forwarded a copy of the phishing email from an Emma client.
“As part of our commitment to supporting U.S. Immigration and Customs Enforcement (ICE), we will be adding a ‘Support ICE’ donation button to the footer of every email sent through our platform,” the phishing email reads. “This button will appear automatically in all outgoing emails starting next week […] all emails sent from your account will include the Support ICE footer element […] this change helps us demonstrate our platform’s civic commitment.” The email adds that it is possible to opt out of this feature, and that “we appreciate your understanding as we implement this platform-wide initiative.”
imageLisa Mayr, the CEO of Marigold, which owns Emma, told 404 Media that the company “would never publish anything like this. This is a very common phishing attempt.”
Mayr is right—clients of other email sending services have recently been targeted with similar attacks. In January, programmer Fred Benenson wrote about phishing emails he had gotten that were targeting users of SendGrid, another email marketing service. At least one of the emails Benenson got used the same “Support ICE button” language and has the subject line “ICE Support Initiative.”
“If you’ve been paying any attention at all to US politics, you’ll know how insidiously provocative this would be if it were a real email,” Benenson wrote in a blog post about the email. “This phishing campaign is a fascinating example of how sophisticated social engineering has become. Instead of Nigerian 419 scams, hackers have evolved to carefully craft messages sent to professionals that are designed to exploit the American political consciousness. The opt-out buttons are the trap.”
In SendGrid’s case, Benenson found that the emails looked “real” because they were sent from other SendGrid user accounts. Basically, hackers compromised the account of a SendGrid user and then used that account to send phishing emails using the SendGrid infrastructure. “The emails look real because, technically, they are real SendGrid emails sent via SendGrid’s platform and via a customer’s reputation–they’re just sent by the wrong people and wrong domains,” he wrote.
Besides the ICE-themed phishing emails, Benenson also received an email that said SendGrid was going to add a “pride-themed footer to all emails” and another that said “all emails sent from your account will feature a commemorative theme honoring George Floyd and the Black Lives Matter movement.”
“The political sophistication on display here (BLM, LGBTQ+ rights, ICE, even the Spanish language switch playing on immigration anxieties) suggests someone with a deep understanding of American cultural fault lines,” Benenson wrote.
imageThe Emma email was sent via Survey Monkey through an email address called “myemma@help-myemma.app.” When users clicked a “Settings” button that would have allowed them to opt out of the feature, they’re sent to a generic-looking site designed to steal credentials hosted at app-e2maa.net. By the time 404 Media got the email, Chrome had detected it as a “Dangerous site” and warned users not to visit it.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み