はじめに
サイバー犯罪者たちは、企業にとって便利なMicrosoft 365の正当な機能であるExchange Onlineの「Direct Send」を悪用し、フィッシングキャンペーンやビジネスメール詐欺(BEC)攻撃の危険な経路として利用しています。セキュリティ研究者たちは、悪意のあるアクターがこの信頼された経路を悪用して認証チェックを回避し、従来のセキュリティ制御をすり抜ける、説得力のある内部向けメッセージを配信していることに警鐘を鳴らしています。
Microsoft 365 Direct Sendとは
Microsoft 365 Exchange OnlineのDirect Sendは、実用的な企業課題を解決するために設計されました。多機能プリンター、スキャナー、ビルディングオートメーションシステム、古い基幹業務ソフトウェアなどのデバイスやレガシーアプリケーションは、企業テナント内でメールを送信する必要がありますが、最新の認証機能を欠いています。Direct Sendは、これらのアプライアンスからのメッセージが厳格な認証とセキュリティスクリーニングをバイパスすることを許可することで、重要なビジネスワークフローを維持します。しかし、この運用上の利便性が悪用可能な弱点となっています。
悪用される信頼された経路
Cisco Talosは、Direct Sendを悪用したフィッシングキャンペーンやBEC攻撃の悪意のある活動が増加していると報告しています。彼らの調査結果は、Varonis、Abnormal Security、Ironscales、Proofpoint、Barracuda、Mimecast、Arctic Wolfといった主要なセキュリティベンダーによる広範な研究と一致しており、これらすべてが最近数ヶ月間にわたるDirect Sendの悪用を通じた積極的な企業標的化を文書化しています。
Microsoftはセキュリティ上の影響を認識しており、RejectDirectSend制御のパブリックプレビューを導入しました。これは、Direct Send固有の使用状況レポートや、新規テナントに対する最終的な「デフォルトオフ」の姿勢など、将来の改善を示唆しています。これらの強化は、Direct Sendが実現するビジネス上重要なワークフローを維持しつつ、組織の防御を強化することを目的としています。
攻撃者が信頼された経路を悪用する方法
Direct Sendの悪用は、信頼された通信チャネルの機会主義的な悪用を意味します。攻撃者は、正当なデバイスやアプリケーションのトラフィックを模倣し、内部アカウントや信頼されたシステムから発信されたように見える認証されていないメッセージを送信します。複数のセキュリティベンダーの研究により、世界中の組織に対して効果的であることが証明されている繰り返しの攻撃手法が明らかになっています。
- 攻撃者は、Abnormal SecurityとVaronisが文書化しているように、内部ユーザー、役員、またはITヘルプデスクになりすますことが頻繁にあります。
- ビジネスをテーマにしたソーシャルエンジニアリングの誘惑が攻撃の状況を支配しており、タスクの承認、ボイスメール通知、サービスアラート、電信送金や支払いプロンプトなどが含まれます。Proofpointは、これらのソーシャルエンジニアリングペイロードの高度な性質を強調しています。
- 現代の攻撃は、コンテンツフィルターを回避するために設計された難読化技術を組み込んでいます。Ironscales、Barracuda、Mimecastは、PDFに埋め込まれたQRコード、低コンテンツメッセージ、および従来のセキュリティスキャンをバイパスし、被害者を資格情報収集ページにリダイレクトする難読化された添付ファイルを含む空の本文のメールを観測していると報告しています。
- おそらく最も陰湿なのは、攻撃者が信頼されたExchangeインフラストラクチャと正当なSMTPフローを悪用して暗黙の信頼を継承し、ペイロードの精査を減らすことです。Abnormal Securityは、「利便性のために構築された機能が、攻撃者にとって完璧な偽装になったらどうなるか?」と問いかけ、Direct Sendの二重の性質を指摘しています。これは、運用にとって価値がある一方で、悪用されると危険です。
認証バイパスの問題
根本的な脆弱性は、Direct Sendが標準のメールドメイン送信者検証から免除されている点にあります。通常、3つの重要な認証メカニズムがメール受信者を保護します。DomainKeys-Identified Mail (DKIM)は暗号署名検証を提供し、Sender Policy Framework (SPF)は送信IP範囲を承認し、Domain-based Message Authentication, Reporting and Conformance (DMARC)は非準拠メールの処理ポリシーを定義します。
実際の例がその危険性を示しています。なりすまされたAmerican Expressの紛争通知や偽のACH支払い通知は、内部メッセージとして表示され、これらの脅威を検出するはずの送信者検証を正常にバイパスしました。これらのメッセージがDMARC、DKIM、SPFスキャンを受けていれば、拒否されていたでしょう。しかし、Direct Sendはこの検査を完全に阻止し、悪意のあるメッセージを通過させてしまいました。
これは企業にとって困難な状況を生み出します。多くの組織は、古いスキャンシステムやワークフローシステムを認証済み送信方法やパートナーコネクタにまだ移行していないため、Direct Sendに正当な依存関係を維持しています。適切な可視性と変更計画なしに性急に無効化すると、請求書処理、文書配布、または施設通知が中断されるリスクがあります。Microsoftの今後のレポート機能は、偶発的なビジネスへの影響を引き起こすことなく、管理者がリスク軽減を順序立てて実行するのに役立つことを目指しています。
Direct Sendの悪用に対する防御
Direct Sendの悪用がますます蔓延しているため、セキュリティ専門家は多層防御戦略を推奨しています。組織は、現在の依存関係を徹底的に棚卸しすることから始め、可能な限りDirect Sendを無効化または制限する必要があります。Microsoftの今後のレポートは、このプロセスを合理化しますが、管理者は直ちに内部デバイスのインベントリ、SPFレコード、およびコネクタ構成を確認する必要があります。
正当なメールフローが検証されたら、Set-OrganizationConfig -RejectDirectSend $trueを使用してRejectDirectSend制御を有効にします。認証済みSMTPへの移行が最も安全な長期的な解決策です。組織は、Microsoftのドキュメントに従い、最新の資格情報を保存できるデバイスやアプリ固有のIDを活用できるデバイスに対して、ポート587での認証済みSMTPクライアント送信を優先すべきです。認証済み送信を使用できないデバイスには、厳密にスコープされた送信元IP制限を持つSMTPリレーを展開します。承認されたドメインで正当に送信するサードパーティサービスには、証明書またはIPベースのパートナーコネクタを確立します。
認証とアライメントの強化は、追加の保護層を提供します。Messaging, Malware and Mobile Anti-Abuse Working GroupおよびMicrosoftのガイダンスに従って、必要な承認済み送信IPを持つSPFを維持し、ソフトフェイル構成を採用します。DKIM署名を強制し、DMARC集約レポートを監視して、悪用試行を示す可能性のある異常な内部向け未認証トラフィックを検出します。
ポリシー、アクセス、および監視の強化が防御戦略を完成させます。ポート25からの一般ユーザーネットワークセグメントからの送信を制限し、指定されたホストのみがSMTPトラフィックを発信するようにします。ビジネス上の正当性がないレガシー認証パスをブロックするために、条件付きアクセスまたは同等のポリシーを使用します。適切な認証を欠く予期せぬ内部ドメインメッセージに対するアラートを設定します。Ironscalesが適切に指摘するように、「見えないものはブロックできない」という言葉は、可視性が確実な実施の前提条件であることを強調しています。
これらの防御策は、Microsoftのプラットフォーム制御の上に重ねられ、攻撃者の滞留時間を短縮し、組織がこの悪用可能な機能を保護するために取り組む中で、検出から修復までの時間を短縮します。