ハクソク

世界を動かす技術を、日本語で。

SendGridはICEやBLMについてメールを送信していない - これはフィッシング攻撃です

136日前原文(fredbenenson.com)

概要

  • SendGrid を装ったフィッシングメールの手口が高度化
  • 政治的・社会的話題 を悪用した巧妙な誘導
  • 攻撃者は 正規アカウントの乗っ取り で信頼性を偽装
  • 2要素認証 や独自フィルターによる自衛策が有効
  • Twilio/SendGrid側の 根本的対策の遅れ が課題

SendGridフィッシング攻撃の実態

  • SendGrid (Twilio傘下)の利用者を狙うフィッシングメールの増加傾向

  • 不審なAPIエラー通知や、見慣れない内容のメール受信

  • 攻撃者は SendGrid顧客アカウント を乗っ取り、正規インフラからメール送信

  • SPFやDKIM認証 をパスし、受信者側の迷惑メールフィルターを回避

  • 標的は SendGrid利用経験者 に限定し、信憑性を向上

    • Netcraft による「Phishception」現象の指摘(2024年)
    • 過去にも Brian Krebs が2020年に同様の問題を報告

フィッシングの誘導パターン

  • LGBTQ+プライドフッター :CEOのカミングアウトを偽装し、プライドテーマ追加の通知

  • Black Lives Matterテーマ :George Floyd追悼を名目に全ユーザーへテーマ適用通知

  • ICEサポートイニシアティブ :米国移民税関捜査局(ICE)支援ボタン追加を装う

  • スペイン語設定変更 :言語設定が勝手に変更された旨の不安を煽る

  • アカウント停止通知 :ガイドライン違反によるアカウント停止を装う定番手口

    • いずれも「 オプトアウトボタン」が罠
    • クリックで偽ログインページへ誘導し、 認証情報窃取 を狙う

送信元アドレスの特徴

  • drummond.com、nellions.co.ke、theraoffice.com、nutritionsociety.org、myplace.co等
  • sendgrid.com ではなく、 正規顧客企業のドメイン が利用される
  • 乗っ取られたアカウントを経由することで 正規メールと見分けがつきにくい

攻撃者の背景と動機

  • アメリカの分断問題 や文化的対立を巧妙に利用
  • ロシアや北朝鮮の 情報戦 のような手法との類似性
  • 技術力と政治的知識を兼ね備えた個人または組織の関与可能性
  • 経済的価値 (インフラ悪用)を主目的とするケースが大半

なぜ対策が困難なのか

  • SendGridは 大量メール送信の利便性 がビジネスモデルの核
  • 利用者の利便性向上が 攻撃者にも有利 に働くジレンマ
  • Twilio/SendGridは 2要素認証の義務化 を進めるも、実装は遅延
  • パスワード使い回し や2FA未設定が被害拡大の要因
  • アカウント乗っ取りの連鎖 (ハイドラ現象)による根絶の難しさ

自衛策と対処法

  • SendGrid利用者は 2要素認証の即時有効化 を推奨
  • ユニークなパスワード の設定、APIキーや送信者IDの監査
  • 不審なメールは クリック・返信厳禁
  • 偽ログインページは リアルタイムで認証情報と2FAコードを窃取

Gmailフィルターによる対策例

  • 設定手順:
    • [設定] → [フィルタとブロック中のアドレス] → [新しいフィルタを作成]
    • 「From」欄に -from:sendgrid.com -from:twilio.com を入力
    • 「含む言葉」欄に sendgrid を入力
    • 「フィルタを作成」→「削除する」を選択
  • sendgrid.com以外から届くSendGrid関連メール を自動削除

情報共有の呼びかけ

  • 他にも 奇妙なSendGridフィッシングメール を受信した場合は情報共有を推奨
  • Twilio/SendGrid関係者 による現状説明や対策情報の提供も歓迎

Hackerたちの意見

送信者の名前がフレンドリーなのも問題の一部だよね。SPF、DKIM、DMARCを使えば、誰が自分のドメインから送信できるかをコントロールできるけど、受信者がそれを確認するかどうかは別の話。厳しいSPFやDMARCのルールを設定していると、大抵の受信者はそのルールに合わないメールを拒否するか受け取らない。だけど、無関係なドメインから自分のブランドを使われるのはコントロールできないよね。もしメッセージリストにnoreply@drummond.comって表示されたら、開く気になる?モバイルだとさらにひどい。Gmail(Android)では、メールを開くと送信者のアドレスすら表示されないこともあるし、送信者アイコンをタップしてアドレスを確認できるメールもあれば、返信ボタンを探さなきゃいけない場合もある(でも、DMARCとかがReply-Toアドレスを検証しないと意味がないし)か、パソコンを探してメッセージを確認しなきゃならない。

これって修正できるの? 人気のある送信者に関しては、ある程度はできるよ。受信メールサーバーで、送信者の表示名を人気ブランドと部分一致させて、実際のドメインが一致するか確認するんだ。これ、正しいブランド(FedExとか)にはかなりうまくいくけど、ブランド名が普通の名前に頻繁に使われる場合や、送信元がいろんなところからメールを送ってくる場合、あるいは「無害な」なりすましが常に起こると、うまくいかなくなる。たとえば、From: "VODAFONE"が100%正当な送信者だとしても(SPFとDKIMの検証が通れば)、VodafoneやDPDはかなり一般的ななりすましのターゲットだからね。もっと賢くなるべきだと思うけど、残念ながらそうじゃない。だから、改善の余地はあるよね。

サインアップする時はメールアドレスに@を使って、メールを受け取ったらToヘッダーをチェックしてみて。あとは、リンクを長押ししたり右クリックして、リンク先のドメインを確認するのもいいよ。

最初の感想は…ICEが寄付を必要とする理由は何だろう? その後、詐欺がどれだけ認識しづらくなっているかに気づいた。年配の人たちはもっと悪い状況に置かれるだろうね。

国の借金を減らすために寄付できるから、連邦機関が寄付を募るのもそんなにあり得ない話じゃないよね。https://www.pay.gov/public/form/start/23779454

"根本的な問題は、SendGridのビジネスモデルが正当な企業がスケールでメールを送るのを簡単にすることに依存していることです。" この結論には同意できないな。他のメールサービスプロバイダーはこの問題を抱えていないから。SendGridの内部インフラに何か問題があるんじゃないかと思っても不思議じゃない。私は以前、SendGridの顧客だったけど、この問題で配信率が影響を受け始めてからは利用をやめた。SendGridは、私がこの問題を解決するためにカスタマーサービスにメッセージを送ったのに、返事が来るまで数週間かかったんだ。私は有料の顧客で、メールを送るためにプライベートIPアドレスを借りていたのに。結局、2021年7月にSendGridのアカウントを閉じることにした。それでも、2022年5月まで毎月請求書が送られてきた。複数のSendGridの担当者が問題が解決したと約束してくれたけど、最終的にCSRの一人が私をSendGridのグローバル抑制リストに追加するまで、やっと止まった。

もし今回の攻撃者が何かを巧妙に利用しているなら、アメリカの文化戦争よりも、そういう攻撃的なグレーなパターンに賭けるね。企業が目立たないように隠れるポリシーを持っているのに気づくってことは、かなり注意深く見ているってことだし。どの問題が文化的な炎上のホットボタンかを知っていれば、アメリカのニュースメディアにはどこでもアクセスできるからね。

SendGridのアカウントを閉じたら、毎月請求書が送られてきた。中規模の会社でITを担当してたんだけど、いろんなSaaS企業でこれを何回も見たのが気になった。数百のサービスがあって、マネージャー一人の小さなものから、会社全体で使うツールまであった。関係を切った時に請求を止めさせるのに、何ヶ月もかかることがよくあった。今思えば個人の記録を残しておけばよかったな。少数派だったけど、確実に15%くらいはあったと思う。

お!私もこのフィッシングの試みを見たことがあるよ。確か、Geminiが設定を変更しないと「lgbt」バナーを追加するって言ってた。

私たちもSendGridからのフィッシングメールを受け取ってるよ。「すべてのメールのフッターにレインボーバナーを追加してLGBTサポートを示します。オプトアウトするにはここをクリック」とか言ってるやつ。特に面白いのは、SendGridはうちのベンダーの一つでもないってこと。

そうだけど、誰もそのボタンをクリックしなかったよね。

その例はTFAの話だね。

2FAはWebAuthnじゃないとフィッシングを防げないよね。でも、Twilioが持ってるSendGridは、SMSかAuthyアプリ(これもTwilio製)に基づく2FAしかサポートしてないんだ。https://www.twilio.com/docs/sendgrid/ui/account-and-settings... TwilioにはWebAuthnを提供できない利害関係があるみたいで、それは彼らのSMSやAuthy製品が実際にはそんなに安全じゃないって認めることになるからだと思う。

Twilioの番号がSMSコードを受け取る資格がないっていうのは皮肉だよね。送信者がそれがバーチャル番号かどうか確認する時、重要な番号はちゃんとチェックされるのに。

GSuiteを使ってるなら、Gmailの管理パネルに行って、2つの正規表現を使ったコンプライアンスルールを作成してみて。1. メッセージにALLの条件が一致する場合に追加する。2. 表現1: タイプ: 高度なコンテンツマッチ 場所: フルヘッダー マッチタイプ: 正規表現に一致 (?im)^from:\sSendGrid(?:\s+\w+)\s*\r\n]+>+$ 3. 表現2: タイプ: 高度なコンテンツマッチ 場所: 送信者ヘッダー マッチタイプ: 正規表現に一致しない (?i)^[A-Za-z0-9._%+-]+@(sendgrid.com|twilio.com)$ ルールを拒否または隔離に設定して。攻撃者がFromヘッダーを変更しない限り、ユーザーはメッセージを見ないから。

特定の送信者のためにカスタムルールを作るのは、火をグラス一杯の水で消そうとしてるみたいなもんだね。もっと体系的な解決策に目を向けた方がいいよ。SPFやDKIM、受信者のメールフィルタリング(あなたのメールプロバイダー)なんかがあるからね。スクリーンショットのメールは、送信者アドレスを偽装するようなトリッキーなこともしてないし、「no-reply@theraoffice.com」から送信されたって感じだし。ドメインを偽装してたら、SPFやDKIMで引っかかってたはず。大体の場合、ユーザーはあまり何もしなくていいよ。送信者のドメインに注意して、フィッシングとして報告すれば、その特定のIPアドレスやドメインをブラックリストに入れる手助けになるから。医者が時々「水を飲んで休んで」と言うように、薬はいらない、免疫システムに任せておけばいいんだ。

SendGridのフィッシングメールは、フィッシングメールの中でも最高の部類だよ。APIのエラー率が上がってるっていうメールが来るんだけど、見た目も legit だし、デザインもいいし、行動を促す内容も合理的で、緊急性もあってクリックしたくなる。MXレコードからSendGridを使ってメールを送ってるのを知ってるから、ターゲットがしっかりしてる。ドメインを見た時は簡単に見抜けるけど、それ以外はここ数年で見た中で一番だね。

ここ数週間、これを受け取ってるけど、フィッシングだとは気づかなかった。SendGridのアカウントは一時的に使っただけで、今の送信取引メールプロバイダーのバックアップとして考えてたんだ。確か5通のテストメールを送ったと思う。今朝のICEのメールはちょっと気になったけど、削除するまでの2秒くらいだけだったし、その後は忙しくHNの投稿を読んでた。

毎日これが大量に来るんだよね。SendGridを製品の重要な部分として使ってるから、彼らからのメールはしっかりチェックしなきゃいけない。フィッシングの試みが多すぎて、もう無理だよ。でも、彼らの試みは素晴らしいと思う。