お馴染みのサービスからの定型メッセージは、もはやセキュリティの指標ではありません。Cisco Talosの専門家らは、攻撃者がGitHubとJiraの正規の通知フレームワークを悪用して、最小限の干渉でフィッシング詐欺やスパムを配信する新興サイバー攻撃の急増を特定しました。外部の視点からは、これらの通信は評判の良いプラットフォームからの標準的なアラートとして表示されるため、疑いが少なくなり、意図した受信者への配信成功率が向上します。
Talosによると、加害者は自動通知のコンテンツに直接欺瞞的なルアーを埋め込みます。GitHubのエコシステム内では、この戦略はコードコミットを中心に展開します。攻撃者はリポジトリを偽造し、コミットの説明に詐欺的な請求書、偽の「テクニカルサポート」プロンプト、またはその他のデータ流出の仕掛けを注入します。コミットが配信されると、GitHub独自のインフラストラクチャが通知をブロードキャストします。このような通信は、SPF、DKIM、DMARCを含む標準的な認証プロトコルを簡単に満たすため、メールフィルターがメッセージを脅威として分類する可能性は大幅に低くなります。
Talosの報告によると、5日間の観察期間中、[email protected]から発信されたすべてのトラフィックの1.2%がサブジェクトラインに「請求書」というキーワードを含んでいました。このアクティビティは2026年2月17日にピークに達し、そのような欺瞞的なメールの割合が日次サンプルの約2.89%に拡大しました。
Jiraでは、方法論が異なります。プラットフォーム自体はメールテンプレートの変更を許可しませんが、プロジェクトと招待フィールドの入力を許可します。攻撃者はJira Service Management内にプロジェクトを確立し、ターゲットアドレスへの招待をブロードキャストする前に、誤解を招くタイトルと導入文を挿入します。その結果、Atlassianは、悪意のあるルアーが信頼できるテンプレートにシームレスに統合されたブランド付きメールを配信します。この手法は、Jira通知が内部の実用的な通信として習慣的に認識される企業環境では特に危険です。
Cisco Talosは、主な問題はプラットフォーム自体の脆弱性ではなく、そのインフラストラクチャに与えられた固有の信頼にあると主張しています。犯罪者はSaaSプロバイダーの高い評判を盾として利用し、ドメイン権限と技術的信頼性を検証するために調整された防御をバイパスします。報告書の著者は、組織は送信者だけでなく、サービス内の機能的なコンテキストを精査することを提唱しています。これには、APIを介したGitHubおよびAtlassianログの分析、異常な招待またはプロジェクト作成の監視、および非定型のコンテンツを持つ通知に厳格な二次検証を実施することが含まれます。
