Microsoft Defender for Office 365がメール爆弾攻撃をブロックするようになりました

Microsoftは、Defender for Office 365のクラウドベースのメールセキュリティスイートが、今後自動的にメール爆弾攻撃を検出し、ブロックするようになると発表しました。

Defender for Office 365（旧称 Office 365 Advanced Threat Protection または Office 365 ATP）は、リスクの高い業界で活動し、高度な脅威アクターに対応する組織を、メールメッセージ、リンク、コラボレーションツールからの悪意ある脅威から保護します。

「Microsoft Defender for Office 365に新しい検出機能を導入し、メール爆弾として知られる増加中の脅威から組織を保護します」とRedmondはMicrosoft 365メッセージセンターの更新で説明しています。

「この種の悪用は、大量のメールでメールボックスを埋め尽くし、重要なメッセージを隠したりシステムを圧倒したりします。新しい『メール爆弾』検出機能は、これらの攻撃を自動的に特定してブロックし、セキュリティチームが本当の脅威を見逃さないように支援します。」

新しい『メール爆弾』機能は2025年6月下旬から展開が始まり、7月下旬までにすべての組織に提供される予定です。この機能はデフォルトで有効化されており、手動での設定は不要で、メール爆弾キャンペーンの一部と判断されたすべてのメッセージは自動的に迷惑メールフォルダーに移動されます。

同社が週末に説明したように、メール爆弾は現在、セキュリティ運用アナリストや管理者向けに、Threat Explorer、メールエンティティページ、メールサマリーパネル、Advanced Huntingの新しい検出タイプとして利用可能です。

メール爆弾攻撃では、脅威アクターが標的のメール受信箱に数千、あるいは数万通ものメッセージを数分以内に送りつけます。これは大量のニュースレターに登録したり、専用のサイバー犯罪サービスを使って膨大な数のメールを送信することで行われます。

多くの場合、攻撃者の最終的な目的は、ソーシャルエンジニアリングの一環としてメールセキュリティシステムを過負荷にし、マルウェアやランサムウェア攻撃の足がかりを作り、被害者のシステムから機密データを流出させることです。

メール爆弾は、さまざまなサイバー犯罪グループやランサムウェアグループによって1年以上前から攻撃に利用されています。最初はBlackBastaギャングがこの手法を使い、攻撃前に被害者のメールボックスを数分でメールで埋め尽くしていました。

彼らはその後、ITサポートチームを装ってボイスフィッシングのコールドコールを行い、混乱した従業員を騙してAnyDeskやWindowsの組み込みツールQuick Assistを使ってリモートアクセスを許可させていました。

システムに侵入した後、攻撃者はさまざまな悪意のあるツールやマルウェアを展開し、企業ネットワーク内を横断して最終的にランサムウェアを配布できるようにしていました。

最近では、メール爆弾は3AMランサムウェアのアフィリエイトや、FIN7グループと関連するサイバー犯罪者にも利用されており、彼らもITサポートを装ったソーシャルエンジニアリング攻撃で、従業員に企業システムへのリモートアクセス用の認証情報を渡すよう仕向けています。