新たに公開された「Ghost-Sender」脆弱性により、Microsoft Exchange Online環境が大規模なメールなりすまし攻撃にさらされています。脅威アクターは標準的なメール認証の制御を回避し、偽造メッセージをユーザーの受信トレイへ直接送り届けることができます。
この問題は、セキュリティ研究者のLucas Dodgson氏、Tobias Oberdörfer氏、Robin Hilber氏が特定したもので、外部MXレコードとExchange Onlineを併用しているハイブリッドまたはクラウドメール展開環境における設定ミスに起因しています。
この脆弱性を悪用することで、攻撃者は内部・外部を問わずほぼあらゆる送信者になりすましたメールを送信でき、SPF・DKIM・DMARCによる保護を回避することが可能です。影響を受ける環境では、認証チェックが明示的に失敗しているにもかかわらず、なりすましメッセージは警告なしに受け入れられて配信されます。
研究者らは、Exchange Onlineのインフラに直接メールが送信された場合、これらの制御が十分に適用されないことを実証しており、悪意あるメッセージがフィルタリング層を回避できることを明らかにしました。
Ghost-Sender脆弱性の仕組み
根本原因は、組織がサードパーティのフィルタリングサービスや外部MXプロバイダーを経由してメールをルーティングしている場合に、Exchange Onlineが受信メールを処理する方法にあります。
このような構成では、攻撃者は指定されたメールゲートウェイを迂回し、テナントのExchange Onlineエンドポイント(例:*.mail.protection.outlook.com)を直接標的にすることができます。
このシナリオでは、Exchange Onlineが未認証メッセージを厳格に拒否しないため、認証が失敗してもなりすましメールが処理・配信されてしまいます。
典型的な攻撃は最小限の手間で実行でき、シンプルなSMTPツールやスクリプトを使うだけで成立します。研究者らは、任意のドメインからなりすましメールを送信できるPowerShellコマンドを用いてこれを実証しました。
これらのメッセージは「[email protected]」や内部の役員など信頼できる組織・人物になりすますことができ、巧妙なフィッシングキャンペーン、ビジネスメール詐欺(BEC)、請求書詐欺攻撃を可能にします。
内部へのなりすましが行われた場合、Outlookが表示名やプロフィール画像などを解決してしまうことさえあり、メールの信頼性がさらに高まります。
この影響は特に企業にとって深刻です。SPF・DKIM・DMARCの適用がなりすまし対策を保証すると思い込んでいる組織が多いためです。
InfoGuard Labsの研究者らによる分析によると、バグバウンティプログラムでテストされたExchange Onlineドメインの20%以上が脆弱であることが判明しており、外部MX構成を使用している組織の約半数が適切な緩和策を実施していませんでした。
注目すべき点として、Microsoftのセキュリティツール(Configuration Analyzerを含む)は現時点でこのリスクを検出しないため、多くの組織が危険にさらされていることを認識できていません。
さらに検出を困難にしているのは、「DMARC遵守」などの標準的なフィッシング対策・スパム対策ポリシーが、この構成でExchange Onlineに直接送信されたメールには適用されない点です。
高度なフィルタリングや厳格な保護プリセットを有効にしても、多くのケースで攻撃を防ぐことができません。これにより危険な盲点が生じています。組織は保護機能が有効と信じていても、攻撃者は依然として悪意あるメールを自由に配信できるのです。
研究者らは実際に悪用されている兆候も確認しています。Microsoftは内部なりすましシナリオを対象とした部分的な緩和策を展開した後に撤回したと報告されており、正規のメールフローを妨げることなく問題を完全に解決することへの継続的な課題を示唆しています。
Ghost-Sender脆弱性の緩和策として、Microsoftは主に2つのアプローチを推奨しています。1つ目は、厳格な検証ルールを持つ「パートナー組織」コネクタを設定し、信頼できるIPアドレスまたは証明書のみがテナントにメールを送信できるようにする方法です。ワイルドカードドメインスコープで適切に設定された場合、この方法は未認証の送信者を SMTPレベルで拒否します。
2つ目のアプローチは、トランスポート(メールフロー)ルールを使用して不審なメッセージを隔離する方法です。組織は、信頼できる送信元IPや特定の内部認証ヘッダーを持たないメールをブロックまたは隔離するルールを作成できます。この方法はブロックされたメッセージの可視性を確保できますが、初期受信後に処理されるため、コネクタベースの強制よりも厳格性は低くなります。
さらに、「ダイレクト送信」機能を無効にすることで内部なりすましを防ぐ効果はありますが、外部からのなりすましリスクには完全には対応できません。セキュリティチームにはghost-sender.comで公開されているテストツールを使って自組織のリスクを検証することも推奨されており、このツールでなりすまし攻撃をシミュレートして緩和策の効果を確認できます。
Ghost-Sender脆弱性は、クラウドメールセキュリティにおけるより広範な問題を浮き彫りにしています。サードパーティサービスとネイティブプラットフォームが交差する部分での設定ミスが、コアな保護機能を静かに損なう可能性があるのです。ハイブリッドかつ多層的なメールアーキテクチャを採用する組織が増える中、正確な設定の確保はセキュリティ制御の導入と同様に重要な課題となっています。
翻訳元: https://gbhackers.com/ghost-sender-flaw-exposes-exchange-online-users/
