情報セキュリティ専門家のTroy Hunt氏がフィッシング被害、Mailchimpのメーリングリストを盗まれる

nosa

2025.03.26

3月26日：サイバーセキュリティ関連ニュース

情報セキュリティ専門家のTroy Hunt氏がフィッシング被害、Mailchimpのメーリングリストを盗まれる

The Register – Tue 25 Mar 2025

著名な情報セキュリティ専門家のTroy Hunt氏がフィッシング被害に遭い、Mailchimpの自身のメーリングリストを盗まれたようだ。

個人情報の漏洩を確認できるサービスHaveIBeenPwned（HIBP）で知られるHunt氏は、この事件についてブログ上で報告。受け取ったフィッシングメールのスクリーンショットを提示し、自身が騙された経緯について説明している。これによれば、メールの内容は「スパムの苦情」があったことが原因でHunt氏のMailchimpアカウントが制限され、一時的にメール送信ができなくなっている旨を伝えるもの。この問題を解決するためにはアカウントのレビューが必要だとして、ログインを促す文面とリンクが記載されていた。Hunt氏はこれを信じ、リンク先のフィッシングページで自身の認証情報を入力してしまったという。同氏はその手口が非常に巧妙だったことを認めた上で、これを見破れなかった最大の要因に自身の疲労を挙げた。この攻撃は特に同氏を狙ったものではなく、自動化されたものとみられている。

Hunt氏によると、同氏の認証情報で不正にログインしたハッカーによってエクスポートされたメーリングリストは約16,000件のレコードで構成されているが、約半数（7,535件）はすでに登録を解除した個人に関するものだという。同氏はこうしたユーザーのデータをMailchimpが保持している理由を疑問視しつつ、自身の設定に問題があったかどうかを調べる意向を示している。

Mailchimpはハードウェアセキュリティキーやパスキーなどフィッシング耐性のある2要素認証（2FA）方式を提供しておらず、認証アプリまたはSMSで配信されるOTP（ワンタイムパスワード）を採用している。

アクセスブローカーRaspberry Robinに関連する一意のC2ドメインが200件近く見つかる

The Hacker News – Mar 25, 2025

米セキュリティ企業のSilent PushとTeam Cymruが共同で行った調査により、Raspberry Robinマルウェアに関連する一意のコマンド＆コントロール（C2）ドメインが200件近く発見された。

The Hacker Newsに共有されたレポートによると、Raspberry Robin（別名RoshtyakまたはStorm-0856）は複雑かつ進化を続ける脅威アクターで、ロシアとつながりがある多数の犯罪グループに初期アクセスブローカー（IAB）サービスを提供している。このマルウェアは2019年に出現して以来、SocGholish、Dridex、LockBit、IcedID、BumbleBee、TrueBotなどさまざまな亜種の経路となっており、ペイロード取得に侵害されたQNAPデバイスを使うことからQNAPワームとも呼ばれている。

関連記事：Raspberry Robinが他の脅威アクターによって転用可能であることが最新の分析で判明

最新の分析ではまず、侵害されたすべてのQNAPデバイスを結ぶデータリレーとして使われるIPアドレスが見つかり、これを出発点としてさらに固有のC2ドメインを180件以上発見。インフラの詳細な調査により、Raspberry RobinのC2ドメインが短い（例：q2[.]rs、m0[.]wf、h0[.]wf、2i[.]pm）ことや、削除されにくくするために高速フラックスと呼ばれる手法を使い、侵害されたデバイス間およびIPを介して急速にローテーションされていることも明らかになった。

また、Raspberry Robinのトップレベルドメイン（TLD）には.wf、.pm、.re、.nz、.eu、.gy、.tw、.cxなどがあり、ドメインはSarek Oy、1API GmbH、NETIM、Epag[.]de、CentralNic Ltd、Open SRSといったニッチなレジストラを使って登録されているようだ。特定されたC2ドメインの大半は、ブルガリアの企業ClouDNSにネームサーバーがあるという。