2025年3月、Have I Been Pwned(HIBP)の創設者であり、著名なセキュリティ啓発者でもあるTroy Hunt氏が、自身のブログ運営用Mailchimpアカウントを巧妙なフィッシング攻撃によって侵害された事を発表しました。
目次
フィッシングの流れ:精巧さと“タイミング”の罠
このフィッシング攻撃は、非常に巧妙かつ自動化されたプロセスで構成されており、セキュリティ専門家であるTroy Hunt氏すらも一瞬の判断ミスで被害を受けました。
以下、その攻撃の流れを時系列で整理します。
偽装メールの受信
Troy氏が受信したのは、「あなたのMailchimpアカウントがスパム通報を受けたため制限される可能性がある」という内容の通知メールでした。
一見すると公式の通知に見える文面で、送信元のアドレスも信頼性の高い企業のメールサーバー(ベルギーの清掃会社のメールアカウントを悪用)から送られていたため、スパムフィルタを回避していました。
フィッシングサイトへの誘導
メールに含まれていたリンク先は、Mailchimpのログインページを巧妙に模倣した「mailchimp-sso.com」という偽サイト。ドメイン名やデザインも正規に酷似しており、忙しく確認せずにアクセスしたユーザーを欺くには十分なレベルでした。
認証情報と2FAトークンの入力
ログイン画面では、パスワードマネージャー(1Password)が自動入力を拒否したため本来は警戒すべきところでしたが、Troy氏は「よくある仕様」と思い込み、ID・パスワードを手動で入力。さらに、2段階認証(OTP)コードまで入力してしまいました。
攻撃者の自動ログインとデータ窃取
攻撃者はこの認証情報と2FAトークンを即時に正規のMailchimpサーバーへ中継し、自動ログイン。ログインとほぼ同時にAPIを通じて全購読者リスト(約16,000件)をエクスポートすることに成功しました。
気付きと対応
Troy氏は、数分後にMailchimpの正規ログイン通知(IPアドレスはロンドン)と、その後のエクスポート通知(ニューヨークから)を受け取ったことで事態を把握。直ちにパスワードとAPIキーを変更し、被害範囲の確認とブログによる公表を行いました。
被害の範囲と残された課題
今回流出した情報には、次のようなデータが含まれていました
-
メールアドレス(登録者および解除済みも含む約16,000件)
-
サブスクリプション種別(週刊/日刊など)
-
登録元URL、登録日時、IPアドレス
-
粗い位置情報(緯度・経度や国・都市コード)
なぜ解除済みアドレスまで漏れたのか?
Mailchimpの仕様上、解除されたアドレスも「再登録防止」のために保持されるとのこと。
ただし、これが明確にユーザーに説明されていなかったことは、GDPRや日本の個人情報保護法の観点からも課題があります。
Troy氏はこの問題提起も含め、ブログ内で以下のように言及しています
「我々は、ユーザーに“選ばせる”べきだ。
HIBPでは、削除・非表示・保持の3つの選択肢を提供している。」
フィッシング耐性のある認証要素の比較表
今回の事件では、OTP(ワンタイムパスワード)が用いられていましたが、攻撃者はそれを即時に中継(中間者攻撃)し、正規ログインに成功しています。
このように、OTPは「入力すれば誰でも使える」ことが弱点です。
以下に、主要な認証要素をフィッシング耐性の観点で比較します
| 認証方式 | フィッシング 耐性 |
中間者 攻撃耐性 |
ユーザー 操作性 |
導入の難易度 | 備考 |
|---|---|---|---|---|---|
| パスワードのみ | ✕ | ✕ | ○ | ○ | 既知の最大リスク要因 |
| OTP(メール/SMS) | ✕ | ✕ | △ | ○ | 最も普及しているが、攻撃に弱い |
| 認証アプリ型OTP | ✕ | ✕ | △ | ○ | 多少セキュアだが、やはり中継に弱い |
| U2F / FIDOセキュリティキー | ◎ | ◎ | ○ | △ | デバイス依存性あり/企業利用に最適 |
| Passkey(FIDO2) | ◎ | ◎ | ◎ | △〜× | プラットフォームにより対応差があるが最も将来性あり |
Troy氏も言及している通り、「パスキー(Passkey)」は今後の主流となりうる技術です。
端末間同期やPIN/生体認証と組み合わせることで、利用者が“正規サイトかどうか”を意識せずに安全な認証ができます。
そして今回の事件を受け、“phishing-resistantな認証”の必要性をさらに痛感し、whynopasskeys.comという啓発サイトの立ち上げを決意したとしています。
参照
