ときに、最も危険なフィッシングメールは、隣のオフィスにいる同僚から送られてきたかのように見えます。まさにこれが、特定のMicrosoft 365メール構成におけるセキュリティプロトコルを回避する術を身につけた攻撃者が現在好んで用いている戦略であり、組織の自社ドメインを名乗り、内部メールに見えるメールを拡散できるようにしています。
Microsoft Threat Intelligenceによると、攻撃者は複雑なメールルーティングのシナリオと、不十分なアンチスプーフィング設定を悪用しています。こうした脆弱性は通常、ドメインのMXレコードがMicrosoft 365で直接終端せず、クラウドに到達する前にオンプレミスのExchangeサーバーやサードパーティのゲートウェイを経由する場合に発生します。この中間の空白地帯では、なりすまし検証が甘くなり得るため、フィッシャーは被害者のドメインを鏡写しにした送信者アドレスを偽造できます。その結果、受信者はメッセージを正当な社内連絡だと認識し、ときには「To」と「From」の両方の欄に同一のアドレスが表示されることさえあります。
Microsoftは、2025年5月以降、さまざまな業界を狙う機会主義的なキャンペーンにおいて、この手口が増加していることを確認しています。多くの場合、これらの大量メールは被害者を認証情報の窃取ページへ誘導し、Phishing-as-a-Service(PhaaS)プラットフォーム――とりわけTycoon 2FAツールキット――と関連しています。2025年10月だけでも、MicrosoftはTycoon 2FAに関連する悪意のあるメールを1,300万通以上遮断しました。これらのプラットフォームは、すぐに使えるテンプレート、インフラ、そして多要素認証を無力化するために設計された「Adversary-in-the-Middle」(AitM)機構を提供することで、犯罪者にとっての参入障壁を下げています。
用いられる誘い文句は、企業環境では驚くほどありふれていてもっともらしいものです。たとえば、ボイスメールの通知、共有ドキュメント、人事関連の更新、パスワード期限切れの警告などです。Microsoftはさらに、偽造メールで従業員に架空の請求書の支払いを強要する高度な金銭詐欺についても詳述しています。これらのメッセージは、「CEO」「経理」「請負業者」が関与するスレッドの続きとして提示されることがあり、高額の偽請求書、W-9フォーム、偽の銀行確認書といった説得力のある添付ファイルによって信憑性が補強されます。
「成功した」フィッシングの影響は予測どおりである一方、依然として壊滅的です。認証情報の流出、機密文書の侵害、そして多額の金銭的損失を招くビジネスメール詐欺(BEC)などが発生します。特にMicrosoftは、ドメインのMXレコードがOffice 365を直接指している場合、このルーティングに基づくなりすまし手口は機能しなくなると強調しています。
防御を強化するため、Microsoftは基本的なメール認証とルーティング設定の堅牢化を推奨しています。具体的には、DMARCポリシーを「reject」モードで厳格に実装すること、Sender Policy Framework(SPF)を「hard fail」に設定すること、そしてサードパーティの迷惑メール対策やアーカイブサービス向けコネクタを綿密に監査することです。さらに、厳密に必要な場合を除き「Direct Send」機能を無効化することが推奨されており、組織ドメインになりすまそうとするメールを遮断するのに役立ちます。
翻訳元: https://meterpreter.org/the-insider-threat-how-tycoon-2fa-bypasses-microsoft-365-mfa-via-spoofing/
