フィッシャーがMicrosoft 365を悪用し、内部ユーザーをなりすます

出典：Tada Images（Shutterstock経由）

サイバー犯罪者は、Microsoft 365のメールセキュリティ防御を回避し、標的ユーザーに説得力のあるフィッシングメールを届ける新たな懸念すべき手法を見つけたようです。

この手法は、正規のMicrosoft 365機能である「Direct Send」を悪用し、悪意のあるメールを内部ユーザーから送信されたかのように見せかけます。これにより、攻撃者はSPF、DKIM、DMARCなど、メッセージが主張するドメインから本当に送信されたかどうかを検証する主要なメール認証プロトコルを回避できます。

内部ユーザーのなりすまし

StrongestLayerの研究者は、攻撃者が実際に顧客の1社を標的にしたのを観測した後、今週この手法についてのレポートを発表しました。「このキャンペーンは、信頼された内部チャネルを悪用したため、Microsoft Defenderやサードパーティのセキュアメールゲートウェイの両方を回避することに成功しました」とセキュリティベンダーはレポートで述べています。攻撃者は、人事、財務、経営幹部に関連する人物の身元をなりすまし、メール受信者の信頼を得ようとしました。

「メッセージが内部からのものに見えたため、外部送信者にのみ適用される多くのポリシーベースのチェックを回避できました」とStrongestLayerは指摘しています。さらに、メールヘッダーがすべて欠落または不正な形式だったため、メッセージの発信元を追跡するのがさらに困難になりました。

Microsoftはこの問題を認識しており、組織がカスタムヘッダースタンピングや隔離ポリシーを適用できるオプションを導入し、内部コミュニケーションを装ったメールを検出できるようにしたと、StrongestLayerは述べています。

Varonis、Barracuda、Arctic Wolfなど複数のセキュリティベンダーが、ここ数週間でDirect Sendの悪用キャンペーンを観測したと報告しており、脅威アクターがこの手法を使って従来のメール防御を回避し、信頼された内部ユーザーになりすます傾向が強まっていることを示唆しています。Varonisは、攻撃者が70以上の組織をこの手法で標的にしていることを発見し、Barracudaはこの攻撃ベクトルが「組織にとって大きなリスク」であるとし、この機能を使って悪意のあるQRコードメールが配信されているキャンペーンを特定しました。Arctic Wolfは、現在この脆弱性を悪用する大規模なキャンペーンを追跡中だと述べています。

Microsoft 365のDirect Send機構は、プリンター、スキャナー、アプリ、その他の内部システムが、認証なしで、ユーザー名とパスワードだけで組織内の人にメールを送信できるようにします。Direct Sendの目的は、信頼されたシステムによる内部メッセージ配信を簡単にすることですが、多くの技術関連の事柄と同様に、そのシンプルさが脅威アクターによるDirect Sendの悪用を容易にしています。

認証なしのメール送信

StrongestLayerのCEO兼共同創設者であるAlan Lefort氏によると、Direct Send機能は外部ソースからの認証なしメール送信を可能にします。外部ユーザーがテナントのDirect Sendエンドポイントのアドレス形式を知っていれば、Microsoft 365テナントに直接メールを送信できるのです—これは比較的簡単に特定できます。メッセージは、組織の公式なメールルートを経由していなくても受け入れられます。StrongestLayerが調査した攻撃では、脅威アクターはウクライナやフランスのIPアドレスから、信頼された内部トラフィックとして扱われるフィッシングメールを送信することができました。

「彼らは海外のIPアドレスからPowerShellコマンドを使い、被害者のスマートホスト経由でメールを送信しました」とLefort氏は述べています。StrongestLayerは、従来のツールでは見逃されがちなソーシャルエンジニアリング手法と認証失敗ヘッダーを関連付けることで、悪意のある活動を特定できました。「攻撃者は、ターゲットの予測可能なスマートホストアドレス形式を特定するだけで、フィッシングメールを配信できたのです」と彼は述べています。

StrongestLayerのCPO兼共同創設者のJoshua Bass氏は、脅威アクターはターゲット組織のM365環境内でのアクセス権や設定ミスを必要としなかったと付け加えています。

彼は、組織がMicrosoftの「Reject Direct Send」設定を有効にし、厳格なDMARC（Domain-based Message Authentication, Reporting, and Conformance）ポリシーを実装することを推奨しています。また、組織内から送信されるすべてのメールヘッダーにカスタム識別子を追加する、いわゆるヘッダースタンピングの導入や、未識別メールを隔離する仕組みの導入も検討すべきだと述べています。

Bass氏によれば、懸念すべきなのはDirect Sendを標的にした攻撃が孤立したものではないという事実です。脅威アクターは5月以降、この手法で相当数の組織を標的にしており、被害者の95%は米国で、主に金融サービス、製造業、ヘルスケア分野だと述べています。さらに、攻撃の巧妙さも進化しており、敵対者はこの手法を使ってPDF内の悪意あるQRコードから、HTMLやSVG添付・メール内に直接埋め込まれた難読化されたフィッシングページまで、ユーザー認証情報を収集するあらゆるものを配布しています。「この手法は高い効果と低い技術要件のため、急速に普及しています」と彼は述べています。