脅威アクターが、複雑なルーティングと不適切に設定されたなりすまし対策をフィッシング攻撃で悪用していることが確認されたと、Microsoftが警告している。
正規のドメインをなりすますことで、攻撃者はフィッシングメールをより効果的にし、社内から送信されたように見せかけている。
この攻撃ベクトルは、Microsoftによると、Tycoon2FAのようなフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを利用した機会主義的なキャンペーンで使用されており、複数の業界が標的となっている。
フィッシングメッセージには、文書共有、人事関連の連絡、請求書、パスワードリセット、ボイスメールに関する誘い文句が含まれており、認証情報が侵害され、ビジネスメール詐欺(BEC)やデータ窃取に悪用される可能性がある。
Microsoftによれば、脆弱な組織では、なりすまし対策が厳格に強制されないまま複雑なルーティングシナリオが構成されており、さらにMXレコードがOffice 365を指していないため、攻撃者が被害者のドメインから送信されたかのように見えるメッセージを送れるという。
この問題は、組織のドメインを介して認証なしでデバイスやアプリケーションがメールを送信できるMicrosoft 365 Exchange Onlineの機能「Direct Send」の脆弱性ではないと、同社は指摘している。
「厳格なDomain-based Message Authentication, Reporting, and Conformance(DMARC)のrejectと、SPFのhard fail(soft failではなく)ポリシーを設定し、サードパーティ製コネクタを適切に構成することで、組織のドメインをなりすますフィッシング攻撃を防止できる」とMicrosoftは述べている。
2025年10月、同社はTycoon2FAのPhaaSプラットフォームに由来する悪意のあるメールを1,300万通以上ブロックしており、その多くが社内ドメインをなりすましていた。
Microsoftの説明によれば、Tycoon2FAや同様のプラットフォームは、攻撃インフラや、アドバーサリ・イン・ザ・ミドル(AiTM)フィッシングといった機能を脅威アクターに提供し、これにより多要素認証(MFA)による保護を回避できるようになる。
「この攻撃ベクトルを通じて送信されるフィッシングメッセージの大半は、従来のフィッシングメッセージと同じ誘い文句を用いており、Docusignのようなサービス、または給与や福利厚生の変更、パスワードリセットに関する人事からの連絡を装っている」と同社は指摘している。
Microsoftは、組織がメールフローのコネクタとルールを適切に構成してなりすましメールをブロックできるよう支援するためのリソースに加え、関連する活動をハンティングするためのクエリも提供している。
