概要
ハッカーが複雑なルーティング設定の不備と、メール認証(DMARC、SPF)の設定ミスを悪用し、組織になりすましてフィッシングメールを配信する攻撃が巧妙化しています。特に2025年5月以降、この種の活動が活発化しており、Microsoft Threat Intelligenceは警戒を呼びかけています。
攻撃者は、Tycoon2FAなどのフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを利用し、ボイスメール通知、共有ドキュメント、人事連絡、パスワードリセット要求などを装った巧妙な手口を用いています。これらの攻撃は、アドバーサリー・イン・ザ・ミドル(AiTM)機能を介してユーザーの認証情報を窃取し、多要素認証(MFA)を回避することが可能です。
攻撃手法の詳細
このなりすまし攻撃が成功するのは、主に以下の状況が組み合わさった場合です。
- メール交換(MX)レコードがOffice 365に直接指定されていない複雑なルーティングシナリオ。
- なりすまし保護メカニズムが不適切に実施されている。
- DMARCポリシーが「reject」ではなく「none」に設定されている。
- Sender Policy Framework (SPF) が「hard fail」ではなく「soft fail」に設定されている。
これらの設定不備により、攻撃者は受信者のアドレスが「To」と「From」の両方に表示されるメールを送信し、あたかも組織内部からの通信であるかのように偽装します。Microsoftは、この脆弱性はDirect Send機能自体に起因するものではなく、認証プロトコルとサードパーティコネクタの不適切な設定に問題があると明確にしています。MXレコードがOffice 365に直接指定されている組織は、ネイティブのなりすまし検出機能によって保護されます。
Microsoftが観測したフィッシングキャンペーンは、特定の組織を狙ったものではなく、業界を問わず広範囲に及んでいます。2025年10月だけでも、Microsoft Defender for Office 365はTycoon2FAに関連する1300万通以上の悪意のあるメールをブロックしました。また、認証情報窃取だけでなく、CEOになりすまして緊急の請求書支払いを要求するなどの金銭詐欺キャンペーンも確認されています。
不審なメールの識別指標
なりすましメールを分析すると、以下のような重要な兆候がメールヘッダーに表れます。
- メッセージの送信元が外部IPアドレスである。
- SPFの失敗。
- DMARCの失敗。
- DKIM値が「none」に設定されている。
また、「X-MS-Exchange-Organization-InternalOrgSender」が「True」でありながら、「X-MS-Exchange-Organization-MessageDirectionality」が「Incoming」と表示されている場合は、内部通信を装ったなりすましメールである可能性が高いことを示しています。
推奨される対策
Microsoftは、これらのなりすまし攻撃を防ぐために、以下の対策を推奨しています。
- DMARCを厳格な「reject」ポリシーで実装する。
- SPFを「hard fail」設定で構成する。
- サードパーティコネクタを適切に構成し、認証計算エラーを防ぐ。
- Defender for Office 365でZero-hour auto purge (ZAP) を有効にする。
- URLスキャンにSafe Linksを導入する。
- FIDO2セキュリティキーやWindows Hello for Businessなどのフィッシング耐性のある認証方法を採用する。
万が一侵害が検出された場合は、速やかに認証情報をリセットし、アクティブなセッションを無効化し、MFAデバイスを確認し、不審な受信トレイルールを削除し、MFAの再構成を検証することが不可欠です。特権ロールに対しては、フィッシング耐性のあるMFA方法を用いたパスワードレス認証への移行が、アカウント侵害のリスクを大幅に低減します。
脅威アクターが技術を進化させ続ける中、適切なメール認証設定は、内部コミュニケーションの信頼された外観を悪用するドメインなりすまし攻撃から防御するために不可欠です。