Apple正規メールを悪用したフィッシング、名前欄に899ドル請求の罠
Appleの正規メールサーバーから届く「アカウント情報が更新されました」という通知。SPFもDKIMもDMARCも全て通過している。それなのに、本文には身に覚えのない899ドルのiPhone購入を告げる文言が紛れ込んでいる。何が起きているのか。
Appleの正規メールサーバーから届く「アカウント情報が更新されました」という通知。SPFもDKIMもDMARCも全て通過している。それなのに、本文には身に覚えのない899ドルのiPhone購入を告げる文言が紛れ込んでいる。何が起きているのか。
Appleのインフラがそのまま悪用されている
BleepingComputerが4月19日に報じたこの事案は、一見すると普通のアカウント変更通知だ。差出人は[email protected]、送信元IPは17.111.110.47というApple所有のアドレス。認証結果のヘッダーも次のように並んでいる。
dkim=pass header.d=id.apple.com spf=pass (spf.icloud.com: 17.111.110.47 as permitted sender)
受信者のメールクライアントは何の警告も出さない。出しようがない。技術的には完璧に本物のApple発信メールだからだ。
ところが本文に目を向けると、宛名の部分にこう書かれている。
Dear User 899 USD iPhone Purchase Via Pay-Pal To Cancel 18023530761 (ユーザー様へ。899ドルのiPhone購入をPayPalで、キャンセル先18023530761)
Appleからの正規通知の中に、コールバック詐欺の文面がそのまま埋め込まれている。PayPal経由で899ドルのiPhoneを買ったことになっていて、キャンセルしたければ記載の番号に電話しろ、という誘導だ。
従来のフィッシング対策は「送信元ドメインを確認しろ」「SPFが通っているか見ろ」だった。この手法はその前提を無効化する。
仕組みは拍子抜けするほど単純
BleepingComputerは実際にテスト用Apple IDを作ってこの攻撃を再現している。手口はこうだ。
攻撃者はまずApple IDを新規作成する。そしてアカウントの氏名欄に、詐欺メッセージを分割して入力する。名には「User 899 USD iPhone Purchase Via」、姓には「Pay-Pal To Cancel 15555555555」。1フィールドあたりの文字数制限があるため、文章を前後に割って押し込む必要がある。
次に配送情報を書き換える。これが引き金になる。Appleは仕様として、アカウント情報に変更があると登録メールアドレスに「Your Apple Account information has been updated」という通知を自動送信する。この通知文面には、ユーザーが自分で入力した氏名がそのまま差し込まれる。
結果、Apple自身のメールサーバーから、Appleの認証を全て通過した状態で、攻撃者が仕込んだ文字列が「あなたのApple Accountの以下の情報が更新されました」という文脈で被害者に届く。ヘッダー解析でも正規のApple発信経路を示している。
名前フィールドを使った攻撃は、Appleのメール生成パイプラインが「ユーザー入力をそのまま本文テンプレートに流し込む」設計であることを突いている。入力値の検証を加えるか、通知テンプレートの構造を見直すまで、同じ手口は繰り返し使える。
メールは「別人宛て」に届いている
もう一つ不気味な要素がある。届いたメールのヘッダーを見ると、本来の宛先と最終配送先が一致していない。攻撃者は自分が作成したApple IDに紐づくiCloudアドレスに通知を送らせ、そこから転送またはメーリングリスト経由で標的へ配布している可能性が高い。
この構造により、攻撃者は1つのApple IDを作るだけで任意の人数に「Apple発信の正規メール」を届けられる。被害者ごとにIDを作る必要がない。通知に含まれるiCloudアドレスは攻撃者のもの——つまりメール本文には被害者が知らないiCloudアドレスが表示される。「見知らぬアドレスで自分のApple IDが作られた」と誤認させ、慌てて電話をかけさせる心理的な罠として機能する。
コールバック詐欺の何が危険か
このメールが誘導するのは、リンク先の偽サイトではない。電話番号だ。リンクをクリックさせない設計は意図的で、URLフィルタやブラウザの警告を回避するためにコールバック詐欺が選ばれている。
電話をかけた被害者を待っているのは、「アカウントが不正利用されている」という脅しと、遠隔操作ソフトのインストール誘導だ。BleepingComputerによれば、過去の同種キャンペーンでは銀行口座からの送金、マルウェアの設置、データ窃取に直結している。
iPhone購入という身に覚えのない請求に動揺した人間が、Appleからの正規通知として届いたメールの指示に従う。この確率を攻撃者は計算している。
既視感のある手口
Appleの正規サービスが詐欺の配達役になるのは初めてではない。過去にはiCloudカレンダーの招待機能が同じように悪用され、偽の購入通知がApple経由で大量に配信された事案がある。どちらも共通しているのは、ユーザー生成コンテンツを通知に埋め込むサービス設計が前提になっている点だ。
この構造は他のプラットフォームにも当てはまる。Microsoft Azure Monitorのアラート機能が似た手口で悪用された事例もあり、「正規サービスが中継すればSPF/DKIM/DMARCは全て通る」という穴は業界横断的に存在している。
BleepingComputerは4月17日(金)にAppleへ取材を申し込んだが、返答はなかった。記事公開時点でこの悪用は依然として可能な状態だ。
ユーザー側にできるのは、Appleから届いたアカウント変更通知であっても、購入や料金を告げる文言が紛れていたら一旦立ち止まること。電話番号が本文に書かれているなら、その番号にはかけない。公式アプリかApple公式サイトから直接アカウントを確認すれば、実際に変更や購入があったかどうかは分かる。
正規認証を全て通過したメールが届く時代に、受信箱は信頼の拠り所ではなくなった。信頼はメールの外、自分で開きに行くサービスへ移っている。
参照元
関連記事
- iOSアップデートが自分のiPhoneに入れなくさせた──ある学生の1週間
- Appleの「メールを非公開」は警察からは隠せない
- iPhoneロックアウト騒動、Appleが9日で動いた続報
- AppleとGoogleが「衣服を剥がす」AIアプリへ検索誘導
- Windows 11がRDPフィッシング対策を全面刷新
- Chrome拡張108本がC2共有、Telegram乗っ取りも
- Mythos配布から外された欧州、AI主権の空白が露呈する
- Booking.comが予約データ漏洩を認める、規模は伏せたまま
- Windows 11 24H2偽更新サイト、検出ゼロのマルウェア配布
- 米国サイバー犯罪被害が過去最高208億ドル突破、AIとクリプト詐欺が急増
