フィッシング攻撃者、Eメールルーティングの脆弱性をますます悪用

batjaket – shutterstock.com

マイクロソフトの脅威インテリジェンスチームは最近、攻撃者がますます複雑なメール転送と、誤って設定されたドメインなりすまし対策を悪用していることを確認した。これにより、フィッシングメッセージが、攻撃対象の組織自身から送られてきたかのように見えるようにしている。

これらの攻撃キャンペーンでは設定上の隙が悪用されている。特に、Microsoft 365を直接指していないMX DNSレコード（Mail Exchanger）や、Domain-based Message Authentication, Reporting & Conformance（DMARC）およびSender Policy Framework（SPF）のポリシーが緩すぎる、または誤って設定されているケースが該当する。

「攻撃者はこのベクトルを利用して、Tycoon 2FAのようなさまざまなPhishing-as-a-Service（PhaaS）プラットフォームに関連する多数のフィッシングメッセージを送信してきた」と、マイクロソフトはブログ投稿で説明している。

同社は、この攻撃ベクトル自体は新しいものではないものの、その利用が2025年半ば以降に大幅に増加していると指摘する。フィッシングの誘い文句は、パスワードのリセットから共有ドキュメントまで多岐にわたる。

「内部」ルーティングと弱いポリシー

問題は、受信側メールサーバーが受信メッセージをどのように解釈するかにある。MXレコードが複雑なメール経路、たとえばローカルシステムやMicrosoft 365の前段に置かれたサードパーティのリレーサーバーへとつながっている場合、SPFのハードフェイルや厳格なDMARC適用といった標準的ななりすまし防止チェックが正しく適用されない可能性がある。

こうしたケースでは、受信者自身のアドレスが「宛先」欄と「差出人」欄の両方に入ったフィッシングメールが届くことがあり、一見すると内部メールのように見える偽装メッセージとなる。場合によっては、攻撃者が送信者名も変更してより説得力を持たせつつ、「差出人」欄を有効な社内メールアドレスに設定することもある。

緩い、または欠落したDMARCおよびSPFポリシーと組み合わさると、これらのメッセージはスパムフィルターを回避し、ユーザーの受信トレイに直接届き得る。

「このベクトルで送信されるフィッシングメッセージは、内部から送られたメッセージのように見えるため、より効果的になり得る」とマイクロソフトは投稿で強調している。「フィッシング攻撃による認証情報の侵害が成功すると、データ窃取やBusiness Email Compromise (BEC)攻撃につながり、影響を受けた企業またはそのパートナーに対して広範な復旧対応が必要になったり、金融詐欺の場合には金銭的損失を招いたりする可能性がある。」

認証情報の収集にとどまらず、PhaaSのインフラはAiTM（Adversary-in-the-Middle）攻撃を可能にし、認証情報がリアルタイムで中継され、さらには多要素認証（MFA）を回避できる場合もある。

防御のための設定が有効

マイクロソフトは、Eメール認証メカニズムを正しく設定することが、このなりすましベクトルに対する最も有効な防御だと強調する。企業には、厳格なDMARCのRejectポリシーを導入し、SPFのハードフェイルを強制することで、自社ドメインから送信されたとされる未認証メールを拒否するか、安全に隔離（検疫）することが推奨されている。

さらに、スパムフィルター、アーカイブサービス、旧式のメールリレーなど、すべてのサードパーティ製コネクタを正しく設定することも推奨される。これにより、なりすましチェックを一貫して算出・適用できる。

Microsoft 365を直接指すMXレコードを持つテナントは、この問題の影響を受けない。マイクロソフトのネイティブななりすまし検知およびフィルタリング機構がこの種の攻撃を防ぎ、標準で適用される。より複雑なメールインフラに対しては、リスクを低減し、偽装メールがエンドユーザーの受信トレイに到達する前にブロックするための、メールルールと認証手順に関する具体的なガイダンスをマイクロソフトが提供している。

Eメール認証の修正に加えて、マイクロソフトは企業に対し、AiTMフィッシングに対するID保護対策の強化を求めている。これは、認証済みセッションを乗っ取ることでパスワードを回避する手法だ。推奨されるコントロールには、FIDO2セキュリティキーのようなフィッシング耐性のあるMFA、条件付きアクセスの強制、盗まれたトークンの影響を限定するためのMFA番号照合などの保護策が含まれる。（jm）