Gmailの「.alias」機能の脆弱性を悪用したロビンフッドを装ったフィッシング詐欺が、本物そっくりのセキュリティメールを実際の受信箱に届けている

偽のログイン通知が本物の受信箱に届き、本物のように見えた理由

攻撃者が、プラットフォームの公式システムから直接送信されたかのように見える説得力のあるログイン通知メールを送信することに成功したことを受け、Robinhoodのユーザーを標的としたフィッシング攻撃が表面化した。

これらのメールは、未承認のデバイスでのアクティビティを警告し、受信者に「今すぐアクティビティを確認」ボタンをクリックするよう促していた。このボタンをクリックすると、アカウントの認証情報を盗むために設計された偽のログインページにリダイレクトされた。

この攻撃が特に巧妙だったのは、メッセージが標準的なメール認証チェックを通過し、あたかも本物のセキュリティ警告であるかのように受信トレイに届いた点にある。

ユーザーがスクリーンショットを共有し始め、ロビンフッド自体が侵害されたのではないかと疑問を呈するにつれ、ソーシャルプラットフォーム上で最初の報告が浮上した。

Gmailのドットエイリアス機能が悪用され、被害者のメールアドレスが複製される

セキュリティ研究者によると、この攻撃はRobinhoodのインフラへの直接的な侵害によるものではなく、メールの挙動とアカウント作成プロセスの脆弱性が組み合わさった結果であるという。

Gmailは、ユーザー名にドットが含まれるメールアドレスを同一のものとして扱います。つまり、「[[email protected]](mailto:[email protected])」と「[[email protected]](mailto:[email protected])」は、同じ受信箱に配信されます。

攻撃者はこの仕組みを悪用し、被害者のメールアドレスとほぼ同一のバリエーションを使用してロビンフッドのアカウントを登録した。

証券会社のシステムはこれらを別々のユーザーとして扱ったが、Gmailは依然としてメッセージを本来の標的に転送した。

これにより、詐欺師たちはロビンフッドのシステムから自動送信されるセキュリティメールをトリガーさせ、最終的に被害者の受信箱に届けることができた。

アカウント設定フィールドを介して注入された隠しコード　フィルタをどのように回避したのか

サイバーセキュリティ研究者でありテック企業のCEOであるアレックス・エッケルベリー氏は、この攻撃はオンボーディングフローにある「いくつかの重大な脆弱性」に依存していたと述べた。

報道によると、攻撃者はアカウント作成時に「デバイス名」などの任意入力欄に HTML ベースの指示を挿入した。これらの入力欄は適切にサニタイズされていなかったため、自動化されたメールテンプレートに悪意のあるコンテンツが埋め込まれることを許してしまった。

メッセージはRobinhood自身のメールサーバーを通じて生成されたため、通常は真正性を確認するために使用されるSPF、DKIM、DMARCのチェックを無事に通過しました。

エッケルベリー氏は次のように説明した。

「その結果、『[[email protected]](mailto:[email protected])』から送信された本物のメールが、SPF、DKIM、DMARCを通過することになります。一見完全に正当なメールに見えますが、実際には偽の警告文が挿入され、機能するフィッシングボタンが含まれています。 このボタンをクリックすると、偽のログインサイトに誘導されます。」

なぜこれらのメールは本物のアラートと見分けがつきにくかったのか

これらの詐欺メールは、Robinhoodのブランドロゴや、デバイスの種類やアクセス時間などのログイン活動の概要など、公式のセキュリティ通知を忠実に模倣していました。

これらのメールは正規のインフラを通じて送信されていたため、標準的なスパムフィルターがそれらを不審なメールとして検知する可能性ははるかに低かった。

この詐欺の手口の一つでは、ユーザーをセキュリティ確認ページに似せた偽のドメインにリダイレクトし、そこで被害者にアカウントの詳細や暗号資産ウォレット情報の確認を求めていた。

一部の指示では、攻撃者が管理する新しく作成されたウォレットへ資金を送金するようユーザーに促すものさえあった。

暗号資産業界の被害額、増大するソーシャルエンジニアリングの脅威を浮き彫りに

セキュリティ企業Hackenの報告によると、2026年第1四半期だけでフィッシングやソーシャルエンジニアリングによる被害額は約3億600万ドルに上り、暗号資産業界全体においてこれらの手口がいかに根強く、多大な損害をもたらすものとなっているかが示された。

ロビンフッドの事件は、攻撃者が暗号化や中核インフラを破るよりも、ユーザーの信頼を操作することにますます依存しているという、この広範な傾向に当てはまります。

専門家は、システムへの侵入よりもメールの信頼性を悪用する攻撃について警告

リップルの名誉CTOであるデビッド・シュワルツ氏もこのキャンペーンに言及し、公式システムから送信されたように見えるメールであっても悪意のあるものである可能性があるとしてユーザーに警告しました。

「警告：ロビンフッドからのものに見える（実際には同社のメールシステムから送信されている可能性もある）メールはすべて、フィッシング詐欺の試みです。」

彼は、これらのメールには現実的なログイン情報、デバイス情報、セキュリティに関するプロンプトが表示されており、一見しただけでは疑うのが難しいと指摘した。

Cubby Lawのセキュリティアナリスト、アブデル・サバ氏は、攻撃者がGmailアドレスの改ざんとアカウント設定フィールドへのHTMLの挿入を組み合わせることで、本物そっくりのアラート内にフィッシングコンテンツを表示できるようにしたと説明した。

ロビンフッド、システム侵害は発生していないと回答

ロビンフッドは、一部のユーザーが「Your recent login to Robinhood（ロビンフッドへの最近のログイン）」という件名の偽のメールを受信したことを確認し、この問題はアカウント作成プロセスの悪用によるものであると述べた。

同社は次のように述べた。

「このフィッシング攻撃は、アカウント作成フローの悪用によって可能となったものです。当社のシステムや顧客アカウントへの侵害ではなく、個人情報や資金への影響もありませんでした。」

同様のメッセージを受け取ったユーザーは、それらを削除し、リンクをクリックせず、メールの指示ではなく公式アプリやウェブサイトを通じて直接アカウントの活動を確認するよう推奨されています。