セキュリティ · 1 min read · Sep 11, 2025

ハッカーがMicrosoft 365の機能を悪用してフィッシングメールを送信

Varonisの管理データ検出および対応(MDDR)法医学チームは、Microsoftの「Direct Send」機能を使用して内部ユーザーを偽装し、アカウントを侵害することなくフィッシングメールを配信する高度なフィッシングキャンペーンを発見しました。

Varonisの研究者によると、このキャンペーンは2025年5月から活動しており、主にアメリカ合衆国の70以上の組織を標的にして、認証なしでプリンターなどのデバイスがメールを送信するために設計された機能を悪用しています。この機能は、脅威アクターによって操作され、組織内から送信されているように見える欺瞞的なメールを送信するために使用されています。

「この攻撃のシンプルさがそれを非常に危険にしている」と、Varonisで法医学分析を主導したマイケル・ソロモンは述べています。「資格情報、マルウェア、またはターゲット環境へのアクセスは必要ありません。必要なのはパブリックIPと基本的なPowerShellスクリプトだけです。」

攻撃の仕組み

Direct Sendは、Microsoft Exchange Onlineの機能で、デバイスやアプリケーションが認証なしでMicrosoft 365テナント内でメールを送信できるようにします(例:tenantname.mail.protection.outlook.com)。これは内部使用のために設計されており、ログイン資格情報は必要ありません。

これにより、攻撃者にとっての機会が生まれます。テナントドメインを特定し、有効なメールアドレスを推測できれば(一般的な形式は[email protected])、ログインしたりテナントに触れたりすることなく、組織内から発信されているように見える偽装メールを送信できます。

これらの偽装メッセージはMicrosoftのインフラストラクチャを通じてルーティングされるため、送信者の認証、評判、または外部ルーティングの手がかりに依存するメールフィルターをバイパスすることがよくあります。その結果、メールは正当な内部メッセージのように見えます。

PowerShellで簡単に

攻撃を開始するために、ハッカーはシンプルなPowerShellスクリプトを使用してDirect Send経由で偽装メールを送信しました。これらのメッセージは、しばしば「新しい未送信ファックスメッセージ」や「発信者がボイスメールメッセージを残しました」などの件名を持つ正当な内部アラートを模倣しています。メールには通常、ボイスメールとして偽装されたPDF添付ファイルが含まれていました。これらのPDFには、ユーザーを資格情報収集サイトにリダイレクトするQRコードが含まれています。

VaronisのMDDR法医学チームは、送信者のIPアドレス、メッセージの内容、行動の類似性に基づいて複数の事例を関連付けました。実際の例の1つは、ログイン試行なしでウクライナのIPアドレスから発信されたメール活動に関するもので、Direct Sendの悪用を示す異常なパターンでした。

なぜこれらのメールは検出を回避するのか

これらのメッセージが従来のセキュリティツールを回避できるいくつかの要因があります:

  • Direct Sendを介して送信するために認証は必要ありません。
  • メールは組織内から発信されているように見えます。
  • SPF、DKIM、DMARCチェックに失敗しますが、配信される可能性があります。
  • Microsoftのフィルタリングは、これらを内部から内部へのメッセージとして扱う可能性があります。

これらの攻撃を検出するには、メールヘッダーを注意深く検査し、スマートホストと相互作用する外部IPや失敗した認証チェックなどの異常な兆候を探す必要があります。他の行動上の赤信号には、自分のアドレスから送信されたメール、PowerShellを使用して送信されたメッセージ、および予期しないまたは外国の場所から発信されたメール活動が含まれます。

防御策

この脅威から防御し保護するために、Varonisは組織に次のステップを取ることを推奨しています:

  • Exchange管理センターで「Direct Sendを拒否」を有効にする。
  • 厳格なDMARCポリシーを実施する(例:p=reject)。
  • 認証されていない内部メッセージをフラグ付けまたは隔離する。
  • Exchange Online Protection(EOP)内で「SPFハードフェイル」設定を強制する。
  • 偽装防止ポリシーを使用する。
  • フィッシングおよびQRコードベースの攻撃(「クイッシング」とも呼ばれる)について従業員を教育する。
  • 自分宛のメッセージや予期しないIPの使用など、異常なメール送信行動を監視する。
  • 不要な送信の悪用を防ぐためにSPFレコードに静的IPアドレスを強制する — これはMicrosoftからの推奨される、ただしオプションのベストプラクティスです。

「Direct Sendは強力な機能ですが、間違った手に渡ると危険な攻撃ベクトルになります。偽装された内部メールを積極的に監視していない場合や、これらの保護を有効にしていない場合は、今がその時です。内部が安全であるとは限らないと考えないでください」とVaronisは結論付けました。

Share: X/Twitter LinkedIn
#セキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。