最近、Microsoft 365のDirect Send機能を悪用した、非常に巧妙なフィッシング攻撃が多発しています。この攻撃は従来のフィッシングメールとは一線を画す手口で、企業の内部メールシステムを悪用して正規のメールに見せかけるという恐ろしいものです。
Microsoft 365 Direct Send機能とは何か
Direct Sendは、Microsoft Exchange Onlineに搭載されている機能で、本来はプリンターや業務用ツールからの通知メールを送信するために設計されました。この機能の特徴は、認証なしに内部テナント内でメールを送信できる点にあります。
通常のメール送信では認証が必要ですが、Direct Sendはその認証プロセスを省略できるため、IoT機器や自動化システムから簡単にメールを送信できるのです。しかし、この便利さが今回、攻撃者に悪用されてしまいました。
実際に発生したフィッシング攻撃の実態
Varonisのフォレンジックチームが2025年6月に発見したこの攻撃では、70以上の組織が被害を受けました。攻撃は2025年5月初旬から始まり、2カ月以上にわたって継続的に活動が確認されています。
現役のCSIRT(Computer Security Incident Response Team)の立場から見ると、この攻撃の巧妙さは以下の点にあります:
- アカウント乗っ取り不要:従来のフィッシング攻撃では、まず誰かのアカウントを乗っ取る必要がありましたが、この手法では不要です
- 内部ユーザーになりすまし:企業のドメイン名やメールアドレスなどの公開情報を使って、内部の人間を装います
- セキュリティ検知回避:正規の内部メールに見えるため、多くのセキュリティソフトをすり抜けてしまいます
フォレンジック調査で見つかった被害パターン
私たちフォレンジックアナリストが実際に調査したケースでは、以下のような被害パターンが確認されています:
中小企業A社のケース
従業員50名程度のIT企業で、経理部門の担当者が「社内システムのアップデート」を装ったメールを受信。メールは同社のドメインから送信されており、普段使用している社内システムのログイン画面そっくりのフィッシングサイトに誘導されました。担当者がログイン情報を入力した結果、会計システムへの不正アクセスが発生し、顧客情報が漏洩しました。
個人事業主B氏のケース
Microsoft 365を利用していた個人事業主が、「セキュリティアラート」を装ったメールを受信。メール内容は「不審なアクセスが検出されました」というもので、緊急性を演出して偽のMicrosoftログインページに誘導。結果的にOneDrive内の重要な契約書類や顧客データが盗まれました。
なぜ従来のセキュリティ対策では防げないのか
この攻撃が特に危険な理由は、従来のメールセキュリティシステムが「外部からの怪しいメール」を前提として設計されているためです。しかし、Direct Sendを悪用した攻撃では、メールが企業の正規ドメインから送信されるため、多くのセキュリティフィルターを素通りしてしまいます。
実際のインシデント対応では、被害企業の多くが「なぜセキュリティシステムが反応しなかったのか」という疑問を抱いています。従来のアンチウイルスソフト
だけでは、このような高度な攻撃を完全に防ぐことは困難なのが現実です。
個人や中小企業ができる現実的な対策
CSIRTの現場経験から、以下のような多層防御が効果的だと考えています:
1. 多要素認証の徹底導入
メールやクラウドサービスへのアクセスには、必ず多要素認証を設定しましょう。パスワードが盗まれても、二次認証があれば被害を最小限に抑えられます。
2. 高品質なアンチウイルスソフト の導入
従来型の検知だけでなく、AI技術を活用した行動分析機能を持つアンチウイルスソフト
を選択することが重要です。怪しい通信パターンを検知できれば、フィッシングサイトへのアクセス自体をブロックできます。
3. VPN の活用
特に重要なのがVPN
の利用です。万が一フィッシングサイトにアクセスしてしまった場合でも、VPN
によって通信が暗号化され、攻撃者による通信の傍受や改ざんを防げます。また、地理的な制限を活用すれば、怪しい国からのアクセスをブロックすることも可能です。
4. 定期的なセキュリティ教育
技術的な対策だけでなく、従業員やチームメンバーへの定期的な教育も欠かせません。特に「内部からのメールでも疑う」という意識を持つことが重要です。
被害を受けてしまった場合の初動対応
万が一、この種の攻撃を受けてしまった場合は、以下の手順で対応してください:
- 即座にパスワード変更:影響を受けた可能性のあるアカウントのパスワードをすぐに変更
- 多要素認証の確認:不審なログイン履歴がないかチェック
- ネットワーク接続の遮断:感染が疑われる端末のネットワーク接続を一時的に遮断
- 証拠保全:フォレンジック調査に備えて、ログやメールのコピーを保管
Microsoft 365環境での具体的な設定見直し
Microsoft 365を利用している企業は、以下の設定を見直すことをおすすめします:
- Direct Send機能の制限:必要がない場合は機能を無効化
- 外部共有の制限:不要な外部共有設定を削除
- 条件付きアクセスの設定:特定の条件下でのみアクセスを許可
- 監査ログの有効化:異常なアクティビティを検知できるよう設定
まとめ:多層防御で巧妙な攻撃に立ち向かう
Microsoft 365のDirect Send機能を悪用したフィッシング攻撃は、従来の常識を覆す巧妙な手口です。「内部からのメールだから安全」という前提が通用しない時代になったことを、私たちは認識する必要があります。
しかし、適切な対策を講じれば、このような攻撃からも身を守ることは可能です。高品質なアンチウイルスソフト
とVPN
を組み合わせた多層防御、そして継続的なセキュリティ意識の向上が、現代のサイバー攻撃に対抗するための最も効果的な方法なのです。
特に個人事業主や中小企業の方々には、コストと効果のバランスを考慮しながら、段階的にセキュリティレベルを向上させていくことをおすすめします。完璧を目指すのではなく、「攻撃者にとって割に合わないターゲット」になることが重要です。
一次情報または関連リンク
Microsoft 365の「Direct Send」機能を悪用 巧妙なフィッシング攻撃の実態 – ITmedia
