GitHubやJiraなどのSaaSプラットフォームの通知システムを悪用してフィッシングおよびスパムメールを送信する攻撃者について、Cisco Talosの研究者が警告しています。
「メールはプラットフォーム自身のインフラから送信されるため、すべての標準認証要件(SPF、DKIM、DMARC)を満たし、実質的に最新のメールセキュリティの主要な門番を無力化しています」と彼らは指摘しています。
「悪意のある意図を技術インフラから分離することにより、攻撃者はフィッシングコンテンツを『承認のシール』付きで正常に配信し、少数のセキュリティゲートウェイのみがこれに異議を唱えるよう設定されています。」
GitHubを悪用する
GitHubでは、攻撃者はサービスの通知システムを悪用して悪意のあるペイロードを配信しています。
GitHubはリポジトリアクティビティについてコラボレータに通知するため、既存のプロジェクトにコミットをプッシュすることで、攻撃者はすべてのコラボレータへの自動メール通知をトリガーします。「コンテンツはプラットフォーム自身のシステムによって生成されるため、セキュリティフラグを回避します」と研究者は指摘しています。
メッセージの本文(出典:Cisco Talos)
ユーザーがコミットを作成するとき、GitHubは2つのテキストフィールドを提供します:短い要約と長い説明です。
短い要約は通知メール内で最初に表示されるため、攻撃者はそれを使用して注意を引く説得力のあるメッセージを表示します。偽の請求詳細やフィッシングリンクなどの主なスキャムコンテンツは、長い説明に含まれます。
観測されたピーク時のある日、GitHubから送信されたメールの約2.89%がこのタイプの悪用に関連していました。
Jiraを悪用する
リポジトリアクティビティを通じて通知をトリガーする代わりに、攻撃者はJiraの「顧客を招待」機能を使用して、メールセキュリティ保護をバイパスするフィッシングメールを送信します。
彼らはJiraアカウントを登録し、新しいサービス管理プロジェクトを作成し、それに適切な名前を設定してから、悪意のあるコンテンツ(例:偽のアラート)をウェルカムメッセージまたはプロジェクト説明フィールドに配置します。
攻撃者はJiraの組み込み顧客招待機能を使用して被害者のメールアドレスを入力し、Atlassianのバックエンドは攻撃者のフィールド値を独自の信頼されたテンプレートに注入することでメールを組み立てます。その結果は、Atlassian独自のブランドフッター付きの専門的にフォーマットされた「サービスデスク」通知です。
悪意のあるJira「通知」(出典:Cisco Talos)
ウェルカムメッセージやプロジェクト説明などのフィールドに悪意のあるコンテンツを配置することで、それがシステム生成メールに自動的に含まれます。
悪意のあるメッセージはAtlassianの暗号化署名されたテンプレート内で送信されるため、メールセキュリティソリューションによってフラグされる可能性が低くなります。また、Cisco Talosが指摘したように、Jira通知は企業環境での利用(従業員による利用を含む)が予想され、ブロックされることはめったにありません。
翻訳元: https://www.helpnetsecurity.com/2026/04/09/saas-platforms-notification-systems-phishing/
