ハッカーがMicrosoft 365の機能を悪用しフィッシングメールを送信
Varonis Managed Data検知と対応(MDDR)フォレンジックチームは、アカウントを侵害する必要なく、Microsoftの「直接送信」機能を使用し、フィッシングメールを配信する洗練されたフィッシングキャンペーンを発見しました。
研究者によると ヴァロニス、2025年5月からアクティブになっているこのキャンペーンは、プリンターのようなデバイスが認証なしで電子メールを送信するのに役立つ機能を乱用することにより、主に米国の70を超える組織を対象としています。この機能は現在、脅威の関係者によって操作されており、すべてが単一のアカウントに違反することなく、組織内から来るように見える欺cept的な電子メールを送信しています。
「この攻撃のシンプルさがそれを非常に危険にしている理由です」と、ヴァロニスで法医学分析を主導したマイケル・ソロモンは言いました。 「資格情報、マルウェア、またはターゲット環境へのアクセスさえ必要ありません。必要なのは、パブリックIPと基本的なPowerShellスクリプトだけです。」
攻撃の仕組み
Direct Sendは、Microsoft Exchange Onlineの機能であり、デバイスとアプリケーションがスマートホストを使用して認証なしでMicrosoft 365テナント内に電子メールを送信できるようにします(例:tenantname.mail.protection.outlook.com)。内部使用のために設計されており、ログイン資格情報は必要ありません。
これにより、攻撃者が機会が生まれます。テナントドメインを識別し、有効な電子メールアドレス((電子メール保護)などの一般的な形式)を推測できる場合、テナントにログインしたり触れたりすることなく、組織内から発生するように見えるスプーフィングされたメールを送信できます。
これらのスプーフィングされたメッセージはMicrosoft Infrastructureを介してルーティングされるため、Sender認証、評判、または外部ルーティングの手がかりに依存する電子メールフィルターをバイパスすることがよくあります。その結果、電子メールは正当な内部メッセージのように見えます。
PowerShellは簡単になります
See also: iTunesドライバーがインストールされていない?解決策7選とおすすめのiTunes代替アプリ
攻撃を開始するために、ハッカーは単純なPowerShellスクリプトを使用して、直接送信を介してスプーフィングされた電子メールを送信しました。これらのメッセージは、「新しいMission Fax-MSG」や「Caller Left VMメッセージ」などの被験者を使用して、正当な内部アラートを模倣します。メールには通常、ボイスメールに変装したPDF添付ファイルが含まれていました。これらのPDFには、ユーザーを資格認定ハーベストサイトにリダイレクトするQRコードが含まれています。
VaronisのMDDRフォレンジックチームは、送信者のIPアドレス、メッセージコンテンツ、および動作の類似性に基づいて複数のインスタンスをリンクしました。現実世界の例の1つは、ログインの試みのないウクライナのIPアドレスに由来する電子メールアクティビティを含みました。これは、虐待を直接送信することを指し示した異常なパターンです。
これらの電子メールが検出を回避する理由
いくつかの要因により、これらのメッセージは従来のセキュリティツールを回避できます。
- 直接送信を介して送信するには認証は必要ありません。
- メールは組織内から発生しているようです。
- SPF、DKIM、およびDMARCチェックに失敗しますが、引き続き配信される場合があります。
- Microsoftのフィルタリングは、これらを内部から内部のメッセージとして扱う可能性があります。
これらの攻撃を検出するには、スマートホストと相互作用する外部IPSや認証チェックの失敗など、異常な標識について電子メールヘッダーを注意深く検査することが含まれます。その他の行動の赤い旗には、独自のアドレスから送信された電子メール、PowerShellを使用して送信されたメッセージ、および予期しない場所または外国の場所からの電子メールアクティビティが含まれます。
保護対策
この脅威を擁護し、保護するために、ヴァロニスは、組織が次の手順をとることを推奨しています。
- 有効にする “直接送信を拒否します」交換管理センターで。
- 厳格なDMARCポリシーを実装します(例:p =拒否)。
- フラグまたは検疫されていない内部メッセージ。
- Exchange Online Protection(EOP)内で「SPF HardFail」設定を実施する
- スプーフィング防止ポリシーを使用します。
- フィッシングおよびQRコードベースの攻撃について従業員を教育します(「Quishing」とも呼ばれます)。
- 自己提出されたメッセージや予期しないIP使用など、珍しい電子メールの継続的な動作を監視します。
- SPFレコードに静的IPアドレスを実施して、不要な送信乱用を防止します。これは、オプションではありますが、Microsoftからのベストプラクティスです。
「Direct Sendは強力な機能ですが、間違った手では、危険な攻撃ベクトルになります。スプーフィングされた内部メールを積極的に監視していない場合、またはこれらの保護を有効にしていない場合、今は時間です。内部手段は安全だと仮定しないでください」とVaronisは結論付けました。