SendGrid を悪用するハッカーたち:巧みなフィッシングでログイン資格情報を窃取していく

Hackers Exploit SendGrid to Steal User Login Credentials in Latest Attack

2025/08/25 gbhackers — 信頼性の高いクラウド・メール・サービス SendGrid を悪用したフィッシング・メールの送信により、認証情報を不正に収集する攻撃の急増を、Cofense – Phishing Defense Center (PDC) サイバー・セキュリティ研究者たちが確認している。問題とされるのは、トランザクションやマーケティングで広く利用される、SendGrid への信頼を悪用する攻撃であり、そこでは、標準的なメール・セキュリティ・ゲートウェイを回避するメッセージが作成されている。

さらに脅威アクターたちは、送信元アドレスを偽装し、正規の SendGrid 通知を模倣することで、本物のアラートを装うフィッシング・ペイロードを配信し、ユーザーの認証情報窃取の成功率を大幅に高めている。

高度なフィッシング・キャンペーン

このキャンペーンでは、緊急性/好奇心/貪欲さなどの心理的トリガーを悪用するよう設計された、3種類のメール・テーマが採用されている。

最初の亜種は “New Login Location” を警告する件名を特徴とし、洗練されたブランドイメージと適切なサイズのロゴを表示した上で、偽の IP アドレスおよび疑わしい場所からのログイン試行が通知される。

Login Credentials
 Email Body

このメールの本文は、「もし、あなた本人なら、これ以上の対応は不要です:If this was you, no further action is needed」といったフレーズで受信者を安心させた後に、「このリンクをクリックしてアクセス:access by clicking this link」と書かれた悪意のリンクをクリックさせる手口を示している。この、オープン・リダイレクトの仕組みに埋め込まれたリンクは、認証情報の窃取を目的とした偽の SendGrid ログイン・ポータルへとユーザーを誘導するものだ。

やはり、なりすまし手法を用いる2つ目のメールは、プレミアム特典付きの Elite Tier (エリート層) への無料アップグレードを約束し、限定特典の魅力により被害者を誘導するものだ。その本文は、Elite Tier Benefits (エリート特典) を有効化すると表示し、有害なリンクを隠し持つプロンプトで締め括られている。このリンクも、オープン・リダイレクトを利用してフィッシング・サイトの本質を隠蔽している。

3つ目のテーマは、ユーザーの電話番号が不正に変更されたと主張し、パニックを誘発した上で、アクセス・リンクを通じたアカウント設定の即時対応を促し、認証情報を窃取するドメインへとリダイレクトする。

オープン・リダイレクトの悪用

この攻撃チェーンのコアは、”url6849[.]destinpropertyexpert[.]com/ls/click?” のようなドメインで確認される、オープン・リダイレクトの脆弱性の悪用である。これらのドメインは、任意の URL をパラメータとして受け入れ、それに応じてリダイレクトを行う。この戦術により、悪意のリンク先が信頼できるドメインの背後に隠蔽され、検出やセキュリティ制御を回避しながら、トラフィックを正当なものに偽装できる。

これらのリンクをクリックした被害者は、”hXXps://loginportalsg[.]com” などのフィッシング・ページへと誘導される。これらのページは、SendGrid のインターフェイスを精巧に模倣しているが、攻撃者が管理するドメイン上で動作している。

Login Credentials
Phishing Page

重要な危険信号として挙げられるのは、公式とは異なる URL である。したがって、ユーザーは、認証情報を入力する前に、URL を精査する必要がある。

これらのフィッシング・メールは、迅速なソーシャル・エンジニアリングを駆使するものであり、メール・エイリアスのなりすましや、テーマの改変、そして、感情の操作などを組み合わせて、機密情報を収集していく。

Cofense PDC のレポートが強調するのは、このようなキャンペーンにより、データ侵害/風評被害/企業の業務中断などのリスクが高まることだ。

それらのリスクを軽減するために、ユーザー組織にとって必要なことは、強力なメール・フィルタリング/URL 検証/多要素認証などの導入であり、また、従業員に対する意識向上トレーニングの実施である。

さらに、Cofense とのデモを予約することで、実際の脅威検知と防御戦略に関する、より深い洞察を得られるとされる。

Indicators of Compromise (IOCs)
StageTypeDetails
Stage 1Infection URLshXXp://url1390[.]hilllogistics[.]com/ls/click?… (IP: 69.7.174.162)
hXXp://url6849[.]destinpropertyexpert[.]com/ls/click?… (IPs: 104.21.85.103, 172.67.204.116)
hXXps://u42632394[.]ct[.]sendgrid[.]net/ls/click?… (IPs: 3.220.122.174, 54.158.174.185, 3.231.179.208, 3.20.87.51, 3.20.194.73, 18.224.219.179)
Stage 2Payload URLshXXps://loginportalsg[.]com/ (IP: 185.208.156.46)
hXXps://sendgrid[.]aws-us5[.]com/ (IP: 185.208.156.46)

SendGrid という、信頼性の高いクラウド・メール・サービスの仕組みを逆手に取るフィッシングが横行しているようです。そこでは、安全に利用されるはずのリダイレクト機能が悪用され、任意のリンクを受け入れることで、攻撃者が制御する悪意のサイトへと、ユーザーが誘導されてしまうと、この記事は指摘しています。とにかく、メールに貼られたリンクは信じないというスタンスが不可欠ですね。よろしければ、Phishing で検索も、ご参照ください。