油断したOffice 365ユーザーをフィッシャーが悪用

出典：Alamy Stock Photo提供 caia image

脅威アクターは、フィッシング攻撃で複雑な手口を用い、メール受信者に「そのメッセージが組織内から送信された」と信じ込ませている。 

これはMicrosoft Threat Intelligenceによるもので、同社は1月6日、攻撃者がOffice 365で標的組織のドメインを偽装し、フィッシング攻撃を容易にした手法に焦点を当てた調査結果を公開した。 

Microsoftが述べているように、攻撃者は一部のOffice 365テナントに存在する「複雑なルーティングのシナリオ」と「誤って設定されたスプーフィング保護」を介してドメインを偽装している。これは新しい手口でもMicrosoft製品に特有のものでもないが、同社は2025年5月以降、利用が増加していると指摘している。 

ドメインの偽装に成功すると、脅威アクターはフィッシングの誘い文句が実際には正当な社内メッセージであるかのように、より容易に受信者をだますことができる。 

過去1年で、フィッシング攻撃者のツールキットは大きく強化されている。多数のフィッシング・アズ・ア・サービス（PhaaS）の提供から、ClickFixのような新しい手法まで多岐にわたる。フィッシングは古い脅威ベクターに見えるかもしれないが、今なお有効であるため攻撃者はこれに依存している。たとえ今でも、少しのソーシャルエンジニアリングと脆弱なセキュリティ態勢があれば、サイバー犯罪者に「王国の鍵」を渡すことになりかねない。 

Office 365を襲ったスプーフィング攻撃の波

Microsoftによれば、メールエクスチェンジャー（MX）レコードをOffice 365以外の場所に向けて設定しており、かつスプーフィング保護を厳格に適用していないテナントは、この問題の影響を受けやすい。 

「厳格なDomain-based Message Authentication, Reporting, and Conformance（DMARC）のrejectと、SPFのhard fail（soft failではなく）ポリシーを設定し、あらゆるサードパーティー製コネクタを適切に構成すれば、組織のドメインを偽装するフィッシング攻撃を防止できる」とMicrosoftは述べた。 

適切な防御策が講じられていない場合、攻撃者は通常なら基本的なセキュリティチェックにすら通らないメール（たとえば、外部IPアドレスから送信しながら送信者として受信者のメールアドレスを設定するなど）を送ることができる。複雑なルーティングとテナント側の弱いスプーフィング保護のため、システムはこれらのメールを悪意あるものとして識別できず、メールが通過してしまう。 

企業を狙う多くのフィッシング攻撃と同様に、これらの誘導のいくつかはDocusignのようなサービスを装ったり、ログインやパスワードリセットを要求する人事部からの連絡を装ったりする。こうしたケースでは、標的はフィッシング用のランディングページに誘導され、認証情報を差し出してしまう可能性がある。別のケースでは、経理や役員の別名（エイリアス）からのメールスレッドを装い、請求書の支払いを要求することもある。

メールのスプーフィングとフィッシング攻撃から身を守る

同社は、2025年に確認したフィッシング攻撃の多くがTycoon2FAのようなPhaaSプラットフォームから来ていたと述べている。これらは技術的知識が乏しい攻撃者でも、すぐにフィッシングキャンペーンを実行できる「ターンキー」な機会を提供する。 

調査ブログには次のようにある。「2025年10月、Microsoft Defender for Office 365は、Tycoon2FAに関連する悪意あるメールを1,300万通以上ブロックした。その中には、組織のドメインを偽装する攻撃も多数含まれていた」「Tycoon2FAのようなPhaaSプラットフォームは、フィッシング攻撃を実行して認証情報を侵害するための機能一式、サポート、すぐに使える誘い文句やインフラを脅威アクターに提供する」

メールスプーフィングは、Microsoftが述べているとおり、目新しいものではない。今回の最新調査は、テナントの不適切な設定のような要因が、いかに雪だるま式の影響を生み得るかを示す一例にすぎない。 

Microsoftは組織に対し、厳格なDMARCポリシーを適用し、サードパーティー製コネクタが正しく構成されていることを確認し、フィッシング耐性のある認証を実装するよう助言している。ブログで概説されているように、これにはFIDO2セキュリティキー、認証アプリのパスキー、またはその他の種類の多要素認証が含まれる。