「Ghost-Sender」と命名されたMicrosoft Exchange Onlineの設定不備が新たに公開されました。この問題を悪用すると、攻撃者はターゲットテナント内の任意の送信者から任意の受信者へなりすましメールを送信でき、SPF・DKIM・DMARCといったメール認証制御を完全に回避できます。
InfoGuardの研究者たちは、Ghost-SenderがExchange Onlineの根本的なアーキテクチャ上の動作を悪用していることを明らかにしました。
組織がExchange OnlineまたはオンプレミスのExchangeをハイブリッドモードで使用し、かつサードパーティのスパムフィルターやメールゲートウェイといった外部MXレコードと組み合わせている場合、Exchange Online本来のフィルタリング機能が事実上無効化されます。
攻撃者はテナントの*.mail.protection.outlook.comエンドポイントに直接メールを送信することで、外部フィルターを完全にスキップし、なりすましメールをユーザーの受信トレイに直接届けることが可能です。
なりすましメールは、たとえ送信元ドメインにSPF・DKIM・DMARCポリシーが適切に設定されていても、一切の警告なしに届きます。
テストでは、研究者は強固なメール認証を備えたドメインである[email protected]から送信したように見せかけたメールを、ユーザーの受信トレイに届けることに成功しました。
組織内の送信者になりすます場合、Outlookはなりすました送信者のプロフィール写真まで表示するため、正規のやり取りとほぼ見分けがつきません。攻撃全体は、テナントのメール保護エンドポイントを標的としたPowerShellの1行コマンドだけで実行できます。
研究者らの予備調査によると、外部MXレコードを使用するExchange Online環境のうち、何らかの緩和策を講じているのは半数未満にとどまっています。
スキャンされたバグバウンティドメインの中では、Exchange Onlineを利用するドメインの20%超が脆弱な状態にあると見られており、これは孤立した例外的ケースではなく、広範かつ組織的な設定不備であることを示しています。
さらに深刻なのは、Microsoftのサポートが研究者に対し、この問題またはそれに関連する問題が実際に悪用されていることを認めた点です。
Microsoftは2026年4月22日に内部的ななりすまし対策を一時展開しましたが、4月27日にロールバックし、組織を再び無防備な状態に置いています。
2026年5月29日時点でのMicrosoftの最新見解では、この問題は「製品の脆弱性」ではなく「既知のアーキテクチャ上の制限」と分類されており、プラットフォームレベルの修正は提供されていません。Ghost-Senderは、高度な影響をもたらすフィッシングや詐欺のシナリオへの扉を開きます。
攻撃者は、Microsoftや金融機関といった信頼できるベンダーから送られたように見せかけた偽の請求書を送信したり、なりすました内部役員アドレスを使ってCEO詐欺やビジネスメール詐欺(BEC攻撃)を仕掛けたり、任意の外部送信者になりすました大規模なフィッシングキャンペーンを展開したりできます。これらすべてが、受信者の受信トレイで認証警告を一切出さずに実行可能です。
Infoguardによれば、すべてのExchange Online環境が同じリスクを抱えているわけではありません。MXレコードがExchange Online Protectionに直接向いている組織は影響を受けません。
ただし、追加のセキュリティ強化なしに外部MXレコードを使用しているすべての構成は、デフォルトで脆弱な状態にあります。拡張フィルタリングを有効にした「Your Organization」コネクターも、この脆弱性の緩和には役立ちません。
「Honor DMARC」を適用したプリセットおよびカスタムのフィッシング対策ポリシーも、MXレコードがMicrosoft 365を向いていない場合は無効です。注目すべき点として、Microsoftの構成アナライザーはこれらの脆弱な構成に対して一切警告を出しません。
Ghost-Senderをブロックできると確認された構成は2つあります。1つ目は、ワイルドカードドメインマッチと、IPまたは証明書ベースの送信者制限を設定したパートナー組織のインバウンドコネクターを展開する方法です。
2つ目は、承認済みIPレンジ以外から送信されたすべての受信メール、またはX-MS-Exchange-Organization-AuthAs: Internalヘッダーが欠如したすべての受信メールを隔離する、優先度0のメールフロールールを作成する方法です。
また、内部送信者のなりすましをブロックするためにDirect Sendを無効化し、無料のテストツールを使って構成全体を検証することも推奨されます。緩和策は、適用後に完全に反映されるまで最大1時間かかる場合があります。
Microsoftへの最初の通知は2026年4月21日に行われましたが、MSRCは「脆弱性ではない」としてレポートをクローズしました。ベンダーによる修正が見込めない以上、対策の責任はExchange Online管理者が全面的に担うことになります。
翻訳元: https://cyberpress.org/ghost-sender-sender-spoofing/
