セキュリティ研究者は、Microsoft 365環境内のメールボックスルールの悪用が急増していることを特定しており、攻撃者はネイティブメール機能にますます依存して、アカウント侵害後のアクセス維持、データ抽出、通信操作を行っています。
本日発表されたProofpointの調査結果によると、2025年第4四半期に侵害されたアカウントの約10%が、初期アクセスの数秒後に悪意あるメールボックスルールが作成されていました。
これらのルールはしばしば最小限またはナンセンスな名前を使用し、メールを削除するか、アーカイブやRSSサブスクリプションのようなほとんど監視されないフォルダに移動するよう設計されています。
攻撃者がMicrosoft 365メールボックスルールを悪用する方法
メールボックスルールは攻撃者に自動化とステルス性をもたらします。アカウント内に侵入すると、検出を回避しながら静かにメールフローを制御できます。メッセージを抑制またはリダイレクトすることで、攻撃者は被害者がインボックスに表示される内容を再形成し、不正な活動を気づかれないうちに続行させることができます。
-
データ盗難のため機密メールを外部アカウントに転送
-
セキュリティアラート、パスワードリセット、疑わしいアクティビティを隠す
-
進行中のメール会話を傍受して操作
-
パスワード変更後もアクセスを維持
実際には、これらの戦術により攻撃者は被害者になりすまし、通信スレッドをハイジャックし、従来のセキュリティアラートをトリガーすることなくビジネストランザクションに影響を与えることができます。
実世界への影響と永続的なリスク
複数のシナリオがメールボックスルール悪用がどのように展開されるかを示しました。Proofpointが観察したあるケースでは、攻撃者は侵害されたアカウントから内部フィッシングメールを送信して給与プロセスを狙い、返信と警告を隠すためのルールが作成されました。これにより、アクティビティはほぼ見えないままになりました。
別の例では、攻撃者はメールボックスルールをサードパーティのメールサービスとドメインスプーフィングと組み合わせて、ベンダー通信を傍受し、既存のスレッドに不正な支払いリクエストを挿入しました。
ビジネスメール侵害(BEC)攻撃についての詳細:Scripted Sparrowが毎月何百万ものBECメールを送信
大学環境も影響を受けています。攻撃者は頻繁にすべての受信メッセージを削除または隠すブランケットルールを展開し、メールボックスを隔離して、ユーザーの認識なしに大規模なスパムキャンペーンを有効にします。
最も懸念される側面の1つは永続性です。悪意のある転送および抑制ルールは、認証情報がリセットされた後もアクティブに残る可能性があり、継続的なデータ公開を可能にします。
研究者はまた、自動化ツールにより攻撃者は複数のアカウント全体にこれらのルールを大規模に展開できるようになり、シンプルな機能が強力で検出が難しい攻撃方法に変わったと指摘しています。
同様の脅威から防御するために、Proofpointは組織が外部の自動転送を無効にし、MFAを含む強力なアクセス制御を実施し、OAuthアクティビティを注視することを提案しました。悪意あるルールの削除、セッションの取り消し、アカウントアクティビティの監査により迅速に対応することも推奨されています。
翻訳元: https://www.infosecurity-magazine.com/news/mailbox-rule-abuse-stealthy-post/
