Gate News メッセージ、4月28日 — Robinhood ユーザーがフィッシングキャンペーンの標的にされました。このキャンペーンは、Gmail の「ドットエイリアス」機能と、プラットフォームのアカウント作成プロセスにおける弱点を悪用していました。攻撃者は、メールアドレスをわずかに変更した偽の Robinhood アカウントを登録し、Gmail がユーザー名内のドットを無視してシステム生成メールを正規ユーザーの受信トレイへ振り分ける挙動を利用していました。
このキャンペーンでは、アカウント設定中の任意の「デバイス名」フィールドを通じて、悪意のある HTML コードを注入しました。これにより、認証チェック(SPF、DKIM、DMARC など)を通過した「[email protected]」からの公式メールの中に、フィッシングリンクや偽の警告文が表示されるようになりました。そのため、受信者には正当なものに見えました。フィッシングボタンをクリックしたユーザーは、認証情報を盗み取るよう設計された偽のログインサイトへ誘導されました。
Robinhood は、フィッシングメールはシステム侵害によるものではなく、アカウント作成フローの悪用によるものだと確認しました。同社は、個人情報や資金には影響がなかったと述べています。ユーザーには、不審なメールを削除し、未知のリンクをクリックするのではなく、公式アプリまたは公式ウェブサイトから直接アカウントにアクセスするよう助言されました。
この事案は、フィッシングやソーシャルエンジニアリング攻撃が大きな損失を生み出している、暗号資産分野におけるより広範なトレンドを反映しています。セキュリティ企業 Hacken は、2026 年第 1 四半期にこうした攻撃が $306 百万ドルの損失の要因になったと報告しており、攻撃者が直接的なシステム侵入を試みるのではなく、ユーザーの行動やプラットフォーム設計の穴をますます狙っていることが示されています。
