Microsoft 365の「ダイレクト送信」機能が新たなフィッシング詐欺に悪用される
by
最終更新日: 3 読了時間:3分
主なポイント
- サイバー犯罪者は、Microsoft 365のDirect Sendを悪用して、SPF、DKIM、DMARCのチェックを回避するフィッシングメールを送信している。
- この攻撃は、社内デバイス向けの正規の機能を介して社内アカウントになりすまし、セキュリティフィルターを回避する。
- ペイロードには、認証情報を盗むQRコードやHTML添付ファイルが含まれ、一部の攻撃は海外IPに追跡される。
- 保護対策:Reject Direct Sendを有効にする、厳格なDMARCを実施する、ヘッダースタンピングを使用する、チェックに失敗したメールを隔離する。
サイバー犯罪者は、Microsoft 365のダイレクト送信機能を悪用して、信頼できる社内ユーザーから送信されたように見せかけ、SPF、DKIM、DMARCなどの標準的なメール認証チェックを回避して、非常に説得力のあるフィッシングメールを配信している。 SPF、DKIM、DMARC などの標準的なメール認証チェックを回避しています。.
この悪用は ストロングレイヤーの研究者StrongestLayerの研究者が、攻撃者が彼らの顧客の1人を標的にすることに成功したのを観察した後に文書化した。
マイクロソフトのダイレクト送信フィッシング攻撃の仕組み
この攻撃は、プリンタ、スキャナ、および内部システムが複雑な認証を行わずにメッセージを送信できるように設計された正当な機能を悪用するものである。内部アカウントになりすますことで、攻撃者は、通常外部メッセージを選別する多くのポリシーベースのチェックを回避し、以下の両方の回避に成功します。 マイクロソフト・ディフェンダーおよびサードパーティのセキュアメールゲートウェイを回避することに成功しました。これは、特にMicrosoft 365/Exchange Onlineの導入に影響する。メールレイヤーでDirect Sendが有効なままだと、ユーザーがデスクトップスイートとしてOffice 2024を実行している環境でも影響を受ける可能性がある。
標的組織の内部通信における信頼関係が悪用されると、攻撃者はQRコードベースのペイロードからHTML添付ファイルに至るまで、通常の防御を回避しつつ認証情報を収集する多様な悪意あるコンテンツを配信可能となる。記録された事例では、ウクライナとフランスのIPアドレスを起源とするフィッシングメールが、依然として信頼されたトラフィックとして処理されていた。
予防策
マイクロソフトは、カスタムヘッダースタンプを適用し、内部を装ったメッセージに対して隔離ポリシーを適用するためのオプションを導入した。また、セキュリティ専門家は マイクロソフトの直接送信拒否設定を有効にし 厳格なDMARCポリシーまた、セキュリティ専門家は、マイクロソフトの直接送信拒否設定を有効にし、厳格なDMARCポリシーを適用し、真正性チェックに失敗したメールを隔離することを推奨している。
まとめ
特に、攻撃者が信頼されたシステムを悪用して従来のセキュリティを迂回している場合、プロアクティブな防御はもはやオプションではありません。Microsoft 365 の堅牢化対策と高度な認証の実施を組み合わせることで、組織はこのような手口にさらされる機会を大幅に減らすことができます。
PowerDMARC のDMARC 管理プラットフォームは、厳格な認証ポリシーの実装と維持、なりすましのリアルタイム監視、フィッシング攻撃がユーザーに届く前の阻止を支援します。 お問い合わせ無料デモのご予約、またはエキスパートへのお問い合わせはこちらから!
よくあるご質問
Microsoft 365 Direct Sendとは?
組織内のデバイスやアプリケーションから、複雑な認証なしにメールを送信できる Microsoft 365 の機能で、内部コミュニケーションを目的としています。
なぜ攻撃者に悪用されるのか?
ダイレクト送信機能は、認証されていないメッセージ送信を可能にします。これにより、攻撃者は多くのセキュリティチェックを回避して、電子メールを内部的なものに見せかけることができます。
組織はどのようにして自らを守るのか?
マイクロソフトの 直接送信の拒否設定、ヘッダースタンピングの導入、厳格なDMARCポリシーの実施、真正性チェックに失敗したメッセージの隔離を行う。
どの業界が最もリスクにさらされているか?
最近の活動では、米国の金融サービス、製造業、医療機関が大きな標的となっている。
ドメインとメールセキュリティのエキスパートPowerDMARC
AhonaはPowerDMARCのマーケティングマネージャーで、サイバーセキュリティのトピックについて5年以上の執筆経験があり、ドメインと電子メールのセキュリティを専門としている。ジャーナリズムとコミュニケーションの卒業後学位を取得し、2019年からセキュリティ分野でキャリアを固めている。
最新記事 by Ahona Rudra(全て見る)
- DANEとは?DNSベースの命名エンティティ認証の解説(2026年) - 2026年4月20日
- VPNセキュリティ入門:プライバシーを守るためのベストプラクティス - 2026年4月14日
- MXtoolbox レビュー:機能、ユーザー体験、メリット・デメリット(2026年) - 2026年4月14日
