メールルーティング設定の悪用と設定ミスのドメインなりすまし保護を悪用して、組織内から送信されたように見える悪質なメールを送るフィッシング攻撃の急増がMicrosoft 365アカウントを標的にしています。
Microsoft脅威インテリジェンスは、攻撃がHR部門とITセキュリティチームからの偽のメッセージをテーマにしており、ログイン認証情報を盗む試みとして展開されていると警告しています。
攻撃ベクトル自体は新しくありませんが、Microsoftは2025年5月以降、これらの技術を展開する攻撃が大幅に増加していると述べており、Typhoon2FAのようなフィッシングサービスキットと一緒に使用されることがよくあります。
これらのフィッシングメールは多くの異なる業界の幅広い組織に送信されており、研究者はそれらが標的化されたものではなく機会主義的な性質であると結論付けていますが、それが脅威をより軽減することはありません。
実際、メールが組織内から送信されたように見えるため、「このベクトルを通じて送信されたフィッシングメッセージはより効果的である可能性があります」とMicrosoftは述べています。
同社はまた、なりすまし攻撃は、Microsoft Mail Exchange(MX)レコードがOffice 365を指していない複雑なルーティングシナリオをカスタム構成し、なりすまし保護が適切に構成されていない組織にのみ影響を与えることに注意しました。
これらのキャンペーンを特に危険にしているのは、攻撃者が「To」および「From」フィールドで企業のドメインを使用して、メールが意図したターゲットと同じ組織内から送信されたように見えるようにできる方法です。
Microsoftによると、テナント組織がMXレコードを誤って構成しているため、これが可能です。これらはMicrosoft 365を直接指していません。つまり、Microsoftのなりすまし検出およびメールフィルタリングツールはデフォルトではオンになっていません。MXレコードがOffice 365を直接指しているテナントはこの攻撃ベクトルに対して脆弱ではありません。
これらの認証の失敗は、攻撃者がメールサーバーの許容性を悪用でき、悪意のあるメッセージが組織内から送信されたかのように見えることを可能にします。
盗まれたパスワード、CEO詐欺など
これらのキャンペーンの一部として送信されたフィッシングメッセージの例には、文書に署名することを要求するメッセージ、パスワードを更新する必要があることを主張するメール(ユーザーを攻撃者が認証情報を盗むために使用する偽のログインポータルに連れて行く)、または会社のCEOからのものであると主張する偽の請求書では購入のために数千ドルの支払いを要求するものが含まれます。
内部ドメインのなりすましは、ターゲットがメッセージが本当に同僚の一人から来ていると信じる可能性が高くなることを意味します。
「フィッシング攻撃による認証情報の侵害に成功すると、影響を受けた組織またはパートナーに対するデータ盗難またはビジネスメール侵害(BEC)攻撃につながり、大規模な復旧作業が必要になる可能性があり、金融詐欺の場合は資金の損失につながる可能性があります」とMicrosoftは警告しました。
同社は、MXサーバーをOffice 365サーバーを直接指すように正しく構成する必要があり、ドメインなりすましのこの方法に対して脆弱ではないことを提案しました。
企業がドメインなりすまし防止に役立つ厳密なドメインベースのメッセージ認証、レポーティング、および適合(DMARC)ルールを適用することも推奨されており、MXにリンクされているサードパーティサービスが正しく構成されていることを確認しています。多要素認証(MFA)とスタッフへのリスク教育も、アカウント乗っ取りを防ぐのに役立つことが提案されています。
「組織にとって最大のポイントは、メールルーティングの複雑さをリスク要因として扱うことです。環境にメールがどのように流れるかを完全に理解していない場合、攻撃者がおそらく理解しているでしょう」とMicrosoftの副CISO Sherrod DeGrippoはInfosecurity Magazineに述べました。
「役立つ1つの簡単な習慣は、説明なく緊急性を生み出すメール、たとえ会社内から来たように見えるものでも、質問するようにユーザーに教えることです。」
翻訳元: https://www.infosecurity-magazine.com/news/phishing-exploits-misconfigured/
