LaunDroMARC:Microsoft SRSの抜け穴が偽装メールを洗浄する方法
by
最終更新日: 5 読了時間:5分
主なポイント
- メール転送は意図せずDMARC保護を回避する可能性があります。
- マイクロソフトのSRSは悪意のあるメールを「洗浄」し、信頼できるように見せかけることができる。
- LaunDroMARCは、内部および外部の転送メッセージの両方に影響を与えます。
- 継続的な監視と可視性は、メールセキュリティにとって極めて重要です。
- PowerDMARCは、このような転送の抜け穴を検出・軽減するためのツールを提供します。
セキュリティ研究者のアーロン・ハートは、一見すると普通のビジネスメール詐欺の試みに見えるものを調査していた。しかし、深く調べれば調べるほど、事態は奇妙になっていった。攻撃のあらゆる要素は洗練され、信憑性があるように見えた。送信者ドメイン、認証結果、そしてメールが辿った経路に至るまで。
しかし、ありえないことが起こった。送信元でDMARCに失敗したメールが 送信元でDMARCに失敗したメールが が魔法のように Microsoft Exchange Onlineを経由して転送された後、 通過していたのである。
これはありえないはずだ。しかし実際に起こっていた――マイクロソフトの 送信者書き換えスキーム(SRS) の実装による副作用だった。
このブログでは、問題を平易な言葉で解説しています。元々はEngage Securityによって共有されたものです。 Engage Securityによって共有されたもので、この抜け穴がどのように機能するか、また組織がリスクを検知し軽減する方法を説明しています。
Microsoft SRSがDMARCバイパスを引き起こす仕組み
調査中、アーロンは気づいた:
- そのメールは信頼できる内部ドメイン(ORG 1)からのものであると主張していた。
- それは別の組織(ORG 2)のユーザーの受信箱に配信されました。
- ORG 2 はメッセージを完全に認証済みと見なした、すなわち SPF 合格、DMARC 合格。
- しかし攻撃者がORG 1に送信した元のメールは DMARCに失敗した。
- MicrosoftのSRS転送は、転送中にMAIL FROMを書き換えました。
- 書き換えられたMAIL FROMが整合性を生み出し、DMARCが下流で通過するようになった。
要するに: 偽装されたメール 本来なら拒否されるべきだった 転送され、書き換えられ、「洗浄」された後、信頼できるメッセージとして配信されました。これにより実際のアカウント侵害が発生し、これは単発の事例ではありませんでした。
なぜこれが重要なのか
メール転送は組織全体で非常に一般的です:
- コンサルタントによるクライアントメールの転送
- 取締役が会社の住所を個人の私書箱に転送している
- 共有メールボックスまたは配布リストによる外部へのメール転送
- 組織間連携グループ
2023年以降、マイクロソフトはすべてのExchange OnlineテナントでSRSを有効化し、メール転送によるSPF失敗の修正を図りました。残念ながら、この修正により新たな問題が発生しました。転送された悪意のあるメールは、元々のDMARC検証に失敗していた場合でも、完全に認証されたように見えるようになったのです。
この現象は現在 「LaunDroMARC」 と命名された。これは転送プロセスが文字通り悪意のあるメッセージを「洗浄」するためである。
SMTP、SPF、DKIM、DMARCの基礎知識を再確認
MAIL FROM 対 FROM
- MAIL FROM (差出人): ユーザーには非表示で、バウンス処理に使用されます。
- 差出人: 受信トレイに表示される差出人
SPF
送信者ポリシーフレームワーク 送信サーバーがMAIL FROMドメインのメール送信を許可されているか検証します。SPFは表示されるFROMアドレスを検証せず、転送時には機能しません(転送元は送信者のSPFレコードに含まれていないため)。
DKIM
ドメインキー認証メール 電子メールのヘッダー(差出人を含む)にデジタル署名を行います。攻撃者は悪意のあるドメインに対してDKIM署名を施す可能性があり、これがプロトコルの弱点の一つとなっています。
DMARC
ドメインベースのメッセージ認証、報告、準拠(DMARC)は、認証を通過させるために、MAIL FROM ドメインが FROM ドメインと一致すること、または DKIM 署名ドメインが FROM ドメインと一致することを要求することで、整合性の問題を修正します。整合性が失敗した場合、ドメインの DMARCポリシー が受信側にメッセージを配信、隔離、または拒否するかを指示します。
DMARCはなりすましを大幅に減少させた この抜け穴によって再び増加するまでは。
崩壊の瞬間:マイクロソフトのSRS実装
SRSは転送時のSPF失敗を防ぐために導入されました。しかし、Microsoftの実装には重大な欠陥があります:
Microsoftは、以下の場合でもMAIL FROMを書き換えます:
- 元のメールは転送ドメインの送信元アドレスを偽装しています。
- 偽装されたメールは最初のホップでDMARCに失敗する。
- このメッセージは攻撃者が制御するドメインから発信されています。
SRSを使用して書き換えられた後、MAIL FROMはFROMドメインと一致するようになり、 最終的な宛先でDMARCが通過する状態となります。
結果: 通常ならDMARCで失敗するはずの悪意あるメールが、転送され、SRSによって書き換えられ、転送元のドメインの認証レコードと完全に一致する状態になる。その結果、受信者には完全に正当なメッセージとして配信される。要するに、メール転送によるなりすましが再び可能となり、DMARCが提供することを意図していた保護が覆されるのである。
マイクロソフトは現在、これをセキュリティ上の脆弱性とは扱っていません。
例示シナリオ
攻撃者が悪意のあるメール送信者ドメイン「maliciousmailer.com」を管理し、SPFレコードがIPアドレス198.51.100.25からの送信を許可するように設定されている状況を想定してください。攻撃者はコンサルタントのサラ宛てにメールを作成します。サラの業務用メールアドレスは[email protected]ですが、これは自動的に個人用メールボックス[email protected]に転送されています。
攻撃者はメールヘッダーを以下のように設定します:
- 差出人: [email protected]
- 差出人: Sarah [email protected] (内部宛てに見せかけた偽装送信)
- 宛先: [email protected]
送信時、攻撃者がMAIL FROMドメインを制御しているためSPF検証は通過する。メールがcompany.comに到達すると、Exchange OnlineはSRSで処理する:偽装されたFROMのDMARC失敗を無視し、転送ドメイン(例:sarah+SRS=…@company.com)に一致するようMAIL FROMを書き換え、サラの個人メールボックスに転送する。
personalmail.comでは、改変されたMAIL FROMと表示されるFROMが一致したため、DMARCが通過するようになりました。メールはサラの受信箱に正当なものと見なされて配信され、本来なら阻止されるべきだった保護機能を事実上回避しています。
要するに、本来ブロックされるべき偽装メッセージが受信者に信頼されるようになり、SRSが意図せず悪意のあるメールを「洗浄」してしまう仕組みを示している。
LaundroMARCが組織にとって危険な理由
この脆弱性が危険なのは、ユーザーが自組織や馴染みのある内部ドメインから送信されたように見えるメールを当然のように信頼するためです。悪意のあるメールが転送されると、元のセキュリティチェックを迂回し、一見クリーンで正当なメールとして届いてしまうのです。
攻撃者は予測可能な転送ルールを悪用してこの盲点を突く一方、セキュリティチームは転送メールよりも受信脅威に注力しがちである。その結果、この抜け穴は機密データの窃取、認証情報の収集、内部標的型フィッシング、さらにはサプライチェーンにおけるなりすまし攻撃といった深刻なリスクへの扉を開くことになる。
マイクロソフトが修正できること
マイクロソフトが実施できるいくつかの単純な緩和策があります:
- FROMヘッダーが転送ドメインに属しているが、最初のホップでDMARCに失敗した場合、SRS経由でMAIL FROMを書き換えないでください。
- 送信者からのDMARCを通過したメッセージにのみSRSを適用する。
- 転送前後の認証結果ヘッダーを比較する。
一致しない場合、メッセージを隔離する。
組織がLaunDroMARCを検出する方法
1. 転送ドメイン(Exchange Online)
MAIL FROMドメインが外部であるにもかかわらず、FROMヘッダーが自社組織に属しているように見えるメールを調査することで、潜在的な悪用を発見できます。こうしたメッセージは、SPFを通過しながらDMARCに失敗するパターンを示すことが多く、SRS書き換えの文脈では危険信号となります。同じメッセージが後で外部に転送された場合、転送ルールが悪意のあるコンテンツやなりすましコンテンツの中継に悪用されている強い証拠となります。
2. 最終的な受信者ドメイン
メールの表示される送信元アドレスと書き換えられたMAIL FROMが一致している場合でも、SRS値内部に埋め込まれた元のMAIL FROMドメインがどちらとも一致しない場合、そのメッセージは転送によって「洗浄」された可能性が高く、なりすましや悪意のあるメールである可能性が高い。
PowerDMARCの見解
グローバルなメール認証強化に特化したプラットフォームとして、LaunDroMARCのような問題は、監視と可視性が強制と同様に重要である理由を浮き彫りにします。DMARCのような標準が正しく導入されていても、メールボックスプロバイダーにおける実装上のギャップが、制御不能な脆弱性を生み出す可能性があるのです。
PowerDMARCは組織を支援します:
- 全ホップにわたる認証結果を分析する
- アライメント異常と転送動作を検出する
- なりすまし攻撃の試みについてリアルタイムで通知を受け取る
- サードパーティシステムが転送メールをどのように処理するかを理解する
- クロスドメイン通信を監視し、なりすましのパターンを検出する
- 転送チェーンを悪用する攻撃の可視性を維持する
無料トライアルをお試しください 無料トライアル または デモを予約 当社の社内エキスパートと今すぐドメイン保護を始めましょう!
最終的な感想
LaunDroMARCの問題により、DMARCが阻止する目的で設計された攻撃ベクトルが再活性化され、転送メールを介した内部ドメインのなりすましが再び可能となった。マイクロソフトは現時点でこれを「低リスク」と評価しているが、実際の侵害事例は異なる実態を示している。
Microsoft 365に依存する組織は、この転送の抜け穴を認識し、追加の検知対策を講じる必要がある。
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- IPレピュテーションとドメインレピュテーション:どちらが受信トレイへの到達率を高めるか? - 2026年4月1日
- 保険金請求詐欺は受信トレイから始まる:なりすましメールが、日常的な保険業務の流れを保険金横領へと変える仕組み - 2026年3月25日
- FTCセーフガード規則:貴社の金融会社にはDMARCが必要ですか? - 2026年3月23日
