攻撃者はMicrosoft 365のメールボックスルールを静かに悪用して、メールを盗み、警告を隠し、マルウェアをインストールせずに長期的なアクセスを維持しています。
これらの隠密戦術は、世界中のエンタープライズユーザーを狙ったビジネスメール詐欺(BEC)キャンペーンでますます一般的になっています。
フィッシング、パスワードスプレー、または侵害されたOAuthトークンを通じて初期アクセスを獲得した後、攻撃者は永続性と隠密性に焦点を当てます。
マルウェアを配備する代わりに、Outlookのメールボックスルールなどの正当な機能を兵器化してメールフローを制御します。これらのルールはメールボックスを整理することが目的ですが、攻撃者の手に落ちると、流出と詐欺の強力なツールになります。
メールボックスルールにより、ハッカーは受信メッセージを自動的に削除、転送、または移動できます。悪意のある行為者はそれらを使用して、財務メールを傍受したり、セキュリティ警告を抑制したり、メッセージを「アーカイブ」や「RSSサブスクリプション」などの隠されたフォルダにリダイレクトします。
ネットワークの傍受が必要ないため、被害者はメールボックスが舞台裏でフィルタリングされていることに全く気付かずに、通常の通信を続けます。
隠密性と永続性の悪用
2025年のセキュリティテレメトリによると、侵害されたMicrosoft 365アカウントの約10%は初期侵害から数秒以内に悪意のあるルール作成を示しました。
2025年第4四半期中、侵害されたユーザーアカウントの約10%は初期アクセス直後に少なくとも1つの悪意のあるメールボックスルールを作成しました。ATO後のメールルール作成の最小時間は約5秒です。
ルールには「.」「..」「;」などのつまらない名前が付いていることが多く、研究者によれば、このパターンは自動化と攻撃者が誰もそこを見ないと考える過信の両方を反映しています。
パスワードのリセット後でも、これらの不正なルールは存続します。管理者が手動で確認して削除しない限り、自動転送とメッセージ抑制が続き、機密情報が漏洩するか、正当なアラートがブロックされます。
確認された1つのケースは、件名に「Payment Receipt」を含むメールを「Archive」に移動する給与スタッフメンバーのメールボックスルールでした。
攻撃者は後にその同じ件名を内部フィッシングキャンペーンで使用して、返信を隠し、給与詐欺のための経営幹部アカウントへのアクセスを延長しました。
メールボックスルールはすでに設置されており、Zohoからのすべての確認メールと対応は「RSSサブスクリプション」フォルダに自動的に隠されました。
メールボックスルールは、Microsoft 365内で完全に実施される中間者攻撃の新しいバリエーションを可能にしています。
あるインシデントでは、攻撃者はZohoからのメールを隠されたフォルダに隠し、相同字を使用して被害者の会社名を模倣する偽のドメインを登録し、元のアカウントの継続的な制御を維持することなくベンダートランザクションスレッドをハイジャックしました。
最終的な目的:ベンダーに攻撃者制御アカウントへの重複した支払いを送信するよう説得することです。
大規模自動化
この戦術は現在自動化されています。攻撃者はMicrosoft Graphを使用するか、PowerShellスクリプトを使用して、数秒で複数のユーザーにわたって悪意のあるルールを大量作成します。
Proofpointの研究者は、盗まれたセッショントークンをキャプチャし、ログイン時に攻撃者が定義したメールボックスルールを作成できるATOLSというツールでこの機能を実証しました。トークンが手にあれば、認証情報は必要ありません。
Microsoft 365管理者はこれらのリスクを軽減するための明確な手順を実行できます:
- データ流出を防ぐため、外部の自動転送を無効にします。
- トークンリプレイとブルートフォース攻撃の成功を制限するため、MFAと条件付きアクセスポリシーを実施します。
- 新しいメールボックスルールとOAuthの同意の変更を継続的に監視し、特にメール読み取りまたは書き込み許可を伴うものに注意します。
メールボックスルールは無害な生産性ツールに見えるかもしれませんが、悪い手に渡ると、BECとスパイ行為の不可視のバックドアとして機能します。定期的な監査とユーザーの認識は、メールボックス内のこの静かな脅威から防御するために今や不可欠です。
翻訳元: https://gbhackers.com/microsoft-365-mailbox/
