**Apple**の口座変更通知が、**Apple**のサーバーから送信される正規のメール内に偽のiPhone購入フィッシング詐欺を送り込むために悪用されており、正規性を高め、スパムフィルターを回避できる可能性があります。 BleepingComputerに寄せられた読者の情報によると、これは標準的な**Apple**のセキュリティ通知のように見えるメールで、口座情報が更新されたと記載されていました。 しかし、メッセージ内には、899ドルのiPhone購入が**PayPal**経由で行われたと主張し、取引をキャンセルするための電話番号が記載されたフィッシングの誘い文句が埋め込まれていました。 「Dear User 899 USD iPhone Purchase Via Pay-Pal To Cancel 18023530761」と、**Apple**口座のフィッシングメールには記載されています。 「以下の変更が、2026年4月14日午後7時1分40秒GMTに、お客様の**Apple**口座、[email protected]に対して行われました：」 「配送情報」  これらのメールは、受信者に口座が不正購入に使用されたと思わせ、詐欺師の「サポート」番号に電話させるよう仕向けるように設計されています。 電話をかけると、詐欺師は通常、被害者に口座が侵害されたと信じ込ませ、リモートアクセスソフトウェアのインストールを指示したり、金融情報を提供させたりしようとします。 過去のコールバックフィッシングキャンペーンでは、このリモートアクセスが銀行口座からの資金盗難、マルウェアの展開、またはデータの盗難に使用されてきました。 ## Appleの口座通知の悪用 フィッシングの誘い文句自体は新しいものではありませんが、このキャンペーンは、攻撃者が正規のウェブサイト機能を悪用して攻撃を実行するという、脅威アクターの戦術が進化し続けていることを示しています。 フィッシングメールは、*[email protected]*のアドレスを使用して**Apple**のインフラストラクチャから送信され、SPF、DKIM、DMARC認証チェックを通過しており、**Apple**からの正規のメールであることが示されています。 dkim=pass header.d=id.apple.com [email protected] header.b=o3ICBLWN spf=pass (spf.icloud.com: domain of [email protected] designates 17.111.110.47 as permitted sender) [email protected] メールヘッダーのさらなる分析により、メッセージが**Apple**のメールインフラストラクチャから送信されたものであり、なりすましではないことが示されています。 初期サーバー：rn2-txn-msbadger01107.apple.com アウトバウンドリレー：outbound.mr.icloud.com IPアドレス：17.111.110.47 (Apple所有) 攻撃を実行するために、脅威アクターは**Apple ID**を作成し、口座の個人情報フィールドにフィッシングメッセージを挿入し、テキストを名と姓のフィールドに分割します。 BleepingComputerは、テスト用の**Apple**口座を作成し、名と姓のフィールドに同様のコールバックフィッシング言語を追加することで、この動作を再現することができました。これは、各フィールドに詐欺メッセージ全体を含めることができないためです。  **Apple**の口座プロフィール変更通知をトリガーするために、攻撃者は口座の配送情報を変更し、これにより**Apple**はユーザーに変更を通知するセキュリティアラートを送信します。 **Apple**はこれらの通知にユーザーが提供した名と姓のフィールドを含めるため、フィッシングメッセージはメールに直接埋め込まれ、正規のアラートの一部として配信されます。 攻撃のターゲットがメッセージを受信しましたが、メールは当初、攻撃者の口座に関連付けられたiCloudメールアドレスに送信されていました。このメールアドレスは通知メールにも含まれており、口座がハッキングされたと信じ込ませるために、メールをより懸念されるものに見せています。 ヘッダー分析によると、元の受信者は最終的な配信先アドレスとは異なっており、攻撃者は複数のターゲットにメールを配布するためにメーリングリストを使用している可能性が高いことが示唆されています。 このキャンペーンは、**iCloud Calendar**の招待を悪用して**Apple**のサーバー経由で偽の購入通知を送信した、以前のフィッシングキャンペーンと類似しています。 一般的なルールとして、ユーザーは、最近の変更を一切行っていない場合や、異常なメールアドレスが含まれている場合に特に注意し、購入を主張したりサポート番号に電話するよう促したりする予期しない口座アラートには注意する必要があります。 BleepingComputerは金曜日に**Apple**にこのキャンペーンについて連絡しましたが、返答はなく、悪用は依然として可能です。