正規システムを悪用した手口が発覚 利用者に慎重な対応求める
ロビンフッド(Robinhood)のメールを装ったフィッシング詐欺が確認され、リップル(Ripple)のデビッド・シュワルツ(David Schwartz)氏が注意喚起を行った。
正規のメール基盤を利用したように見せかける手口により、従来の見分け方が通用しないケースが報告されている。リップルのCTO(最高技術責任者)名誉職であるシュワルツ氏は、X上でロビンフッドの利用者を狙ったフィッシング詐欺について警告した。問題のメールはロビンフッドから送信されたように見え、偽のセキュリティ通知として受信者に届いていた。
WARNING: Any emails you get that appear to be from Robinhood (and may actually be from their email system) are phishing attempts.
Example: pic.twitter.com/oJilpQqJdp
— David 'JoelKatz' Schwartz (@JoelKatz) April 27, 2026
警告:Robinhoodからのメールのように見えるもの(実際にRobinhoodのメールシステムから送信されている可能性もあります)はすべてフィッシング詐欺です。例:
メールの件名は「Robinhoodへの最新のログイン」とされ、特定の端末からのログイン試行や電話番号の更新予定を通知する内容が含まれていた。本文には「今すぐアクティビティを確認」といったボタンが設置されており、変更が取り消せなくなる可能性を示すことで受信者に即時の対応を促す構成となっている。
同氏は、これらのメールがロビンフッドの実際のメールインフラを経由したように見える点を指摘した。送信元のドメイン認証を通過しているため、受信トレイ上では正規のメールと区別がつきにくい状態で表示されるという。同氏はこの攻撃を非常に巧妙と表現している。ロビンフッドは本件について、システムへの侵入ではなくアカウント作成フローの悪用が原因と説明した。また、個人情報の漏洩や資金の不正使用は確認されていないとしている。
認証をすり抜ける技術的トリックの実態
今回の攻撃では複数の技術が組み合わされていた。攻撃者はGmailのドットトリックを利用し、同一の受信トレイに紐づく複数のメールアドレスを作成した上でロビンフッドのアカウント登録を行った。
さらにデバイス名の入力欄にHTMLコードを埋め込み、通知メールの生成時にその内容がそのまま表示される仕組みを悪用した。これによりnoreply@robinhood.comから送信された正規のメールのように見えるフィッシングメールが作成される。このメールはSPF、DKIM、DMARCといった認証をすべて通過しており、スパムフィルターでも検知されにくい特徴を持つ。Gmailでは過去の正規メールと同一スレッドに分類されるケースも確認されている。
メール内のリンクは攻撃者が管理するページに接続され、ログイン情報や二段階認証コードの入力を求める仕組みとなっている。最終的な目的はアカウントへの不正アクセスと資金の窃取である。こうしたフィッシングは単発の事例ではなく、複数のプラットフォームで類似の攻撃が確認されている。報告ではフィッシング被害額が前月比で大幅に増加し、数千件規模の被害が発生しているとされる。
ロビンフッドは、不審なメールを受け取った場合はリンクをクリックせず削除すること、不安がある場合は公式アプリから直接サポートに連絡することを呼びかけている。今回の事例は、送信元や認証情報が正しく見える場合でも安全とは限らないことを示しており、利用者の慎重な判断が求められる。
