米投資アプリ Robinhood の口座作成画面に脆弱性があり、攻撃者が他人のメールアドレスにドットを 1 つ挿入した文字列で口座を作成することで、Robinhood の公式メールサーバから本物の被害者に偽の『最近のログイン』通知が届く攻撃が 4 月 26-27 日に観測されました。
主なポイント
- 攻撃者は被害者のメールアドレスにドットを挿入した値で口座作成し、Robinhood が送信する自動通知メールに偽の『デバイス』情報を仕込んだ。Gmail がドット差をエイリアスとして同一視するため、被害者の受信箱へ届いた。
- メールは Robinhood 自身のサーバから送られるため SPF / DKIM / DMARC をすべて通過し、ロゴや文面も正規通知と同一でフィルタを回避。
- 「Review Activity Now」ボタンのみが robinhood[.]casevaultreview[.]com/verify に誘導し、口座本人確認と称して暗号資産ウォレット情報を聞き出し送金させる手口だった。
- Robinhood は脆弱だった『デバイス』フィールドを口座作成メールから削除して対応。決算発表直前に発生したため株主向けにも注意喚起した。
- 攻撃者は新規口座作成だけで本物の通知配信網を借用しており、認証ドメイン保有事業者に共通する設計リスクを浮き彫りにした。
出典: Robinhood account creation flaw abused to send phishing emails (BleepingComputer)