- 設定不備のあるメールサーバーにより、攻撃者がドメインを偽装し、SPF・DKIM・DMARCのチェックを回避できる
- フィッシングメールは、Tycoon2FAのようなキットを使い、人事(HR)やボイスメールを題材にして社内メッセージを模倣する
- 盗まれた認証情報が二次的なビジネスメール詐欺(BEC)攻撃の燃料となり、広範で無差別なキャンペーンとして展開される
サイバー犯罪者はメールサーバーの設定不備を悪用し、非常に説得力のあるフィッシングメールを送って、被害者をだましてログイン認証情報やその他の機密情報を共有させています。これはMicrosoftによるもので、同社は最近のレポートで、この手口自体は新しいものではないものの、2025年後半に入ってから人気が高まったと述べています。
同レポートでMicrosoftは、犯罪者が一部企業のメールのルーティング方法や、セキュリティチェックの設定のされ方を悪用していると説明しました。通常、メールシステムはSPF、DKIM、DMARCといったチェックを用いて、メッセージが本当に名乗っている組織から送られてきたものかを確認します。
複雑な構成(たとえば、メールがサードパーティのサービスやオンプレミスのサーバーを経由する場合)では、これらのチェックが弱かったり、厳格に適用されていなかったりすることがあります。
偽のボイスメールとパスワードリセット
攻撃者はその隙を突き、社外からメールを送信しながらも、送信者として企業自身のドメインを使用できます。システムが失敗したチェックを完全には拒否しないため、そのメールは受け入れられ、「社内」としてマークされます。
犯罪者はまた、送信者と受信者の両方の欄に従業員の実在するアドレスを使ったり、ITや人事(HR)といった見慣れた表示名を用いたりするなど、社内のパターンを模倣することもできます。
その結果、メッセージは正当な社内メールのように見え、被害者が誘いに乗ってしまう可能性が高まります。
Microsoftによると、攻撃者はTycoon2FAなどの既知のフィッシングキットを使って説得力のある誘導を作成しており、テーマは通常、ボイスメール、共有ドキュメント、人事部門からの連絡、パスワードのリセットや期限切れ、その他これに類するものだといいます。
最後に、これは標的型キャンペーンではないようです。むしろ攻撃者は可能な限り広く網を張り、できるだけ多くのログイン認証情報やその他の機密情報を入手しようとしています。場合によってはメールアカウントのパスワードを入手し、それを二次的なビジネスメール詐欺(BEC)攻撃に利用していました。
