脅威アクターは、誤設定されたMXレコードと脆弱なDMARC/SPFポリシーを悪用してフィッシングメールを社内メールのように見せかけ、フィルタを回避して認証情報窃取のリスクを高めている。
Microsoftの脅威インテリジェンスチームは、脅威アクターが複雑なメールルーティングと誤設定されたドメインなりすまし防止をますます悪用し、標的とする組織の内部から送信されたかのようにフィッシングメッセージを見せかけていることを明らかにした。
これらのキャンペーンは設定上のギャップに依存しており、具体的には、メールエクスチェンジャー(MX)のDNSレコードがMicrosoft 365を直接指していないケースや、Domain-based Message Authentication, Reporting & Conformance(DMARC)およびSender Policy Framework(SPF)のポリシーが緩い、または誤設定されているケースが該当する。
「脅威アクターはこのベクターを利用し、Tycoon 2FAのような各種フィッシング・アズ・ア・サービス(PhaaS)プラットフォームに関連する多種多様なフィッシングメッセージを配信している」とMicrosoftはセキュリティブログ投稿で述べた。
ブログでは、この攻撃ベクター自体はまったく新しいものではないものの、悪用は2025年半ば以降に大幅に増加し、パスワードリセットから共有ドキュメントまで幅広いフィッシング誘導を配信していると指摘した。
原因は「内部」ルーティングと脆弱なポリシー
問題は、受信側メールサーバーが受信メッセージをどのように解釈するかにある。MXレコードが、Microsoft 365の前段にオンプレミスシステムやサードパーティのリレーを挟むなど複雑なメール経路につながっている場合、SPFのハードフェイルや厳格なDMARC適用といった標準的ななりすまし防止チェックが正しく適用されないことがある。
こうしたケースでは、受信者自身のアドレスが「To」と「From」の両方のフィールドに入った状態でフィッシングメールが届き、一見すると社内メールに見える偽装メッセージとなり得る。場合によっては、攻撃者が送信者名を変更してより説得力を持たせる一方で、「From」フィールドには有効な社内メールアドレスを設定する。
緩い、または存在しないDMARCおよびSPFポリシーと組み合わさることで、これらのメッセージはスパムフィルタを回避し、ユーザーの受信トレイに直接届く可能性がある。
Microsoftは blogで、「このベクターを通じて送信されるフィッシングメッセージは、社内から送信されたメッセージに見えるため、より効果的になり得る」と付け加えた。「フィッシング攻撃による認証情報の侵害が成功すると、データ窃取や、影響を受けた組織またはパートナーに対するビジネスメール詐欺(BEC)攻撃につながる可能性があり、広範な復旧対応が必要になったり、金融詐欺の場合は資金損失につながったりする恐れがある。」
認証情報の窃取にとどまらず、PhaaSのインフラは、認証情報をリアルタイムで中継するアドバーサリ・イン・ザ・ミドル(AiTM)攻撃を可能にし、多要素認証の保護を回避することさえあり得る。
設定の強化が有効
この開示は、メール認証メカニズムの適切な設定が、このなりすましベクターに対する最も効果的な防御であることを強調している。組織には、厳格なDMARCのrejectポリシーを採用し、強制的にSPFのハードフェイルを適用して、自組織のドメインから送信されたと主張する未認証メールを拒否するか、安全に隔離することが推奨される。
さらに、スパムフィルタ、アーカイブサービス、レガシーなメールリレーなどのサードパーティコネクタがある場合、それらが正しく設定され、なりすましチェックを一貫して算出・適用できるようにすることも推奨事項に含まれる。
MXレコードがMicrosoft 365を直接指しているテナントは、この問題の影響を受けない。Microsoftのネイティブななりすまし検知とフィルタリング機構が既定で適用されるためだ。より複雑なメール基盤については、Microsoftは、エンドユーザーの受信トレイに到達する前に露出を減らし、偽装メールをブロックするためのメールフロールールおよび認証運用に関する具体的なガイダンスを提供した。
メール認証の修正に加え、Microsoftは、認証済みセッションを乗っ取ってパスワードを回避するAiTMフィッシングに対して、ID防御を強化するよう組織に促した。推奨される対策には、FIDO2セキュリティキーのようなフィッシング耐性のあるMFA、条件付きアクセスの適用、盗まれたトークンの影響を抑えるためのMFA番号一致などの保護が含まれる。
