【緊急警告】Microsoft 365のDirect Send悪用フィッシングが急増！70社被害の手口と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

Microsoft 365の盲点を突く新手のフィッシング攻撃が急拡大
Direct Send機能とは？なぜ悪用されるのか
従来のセキュリティ対策が無力化される理由
1. SPF/DKIM/DMARC認証の回避
2. サンドボックス検査の回避
実際の被害事例から学ぶ教訓
個人ユーザーも無関係ではない理由
1. 在宅勤務での感染拡大
2. 個人情報の二次被害
効果的な対策方法
1. 企業レベルでの対策
2. 個人レベルでの対策
今後の展望と注意点
まとめ
一次情報または関連リンク

Microsoft 365の盲点を突く新手のフィッシング攻撃が急拡大

2025年6月、Varonis Threat Labsから衝撃的な報告が発表されました。Microsoft 365（M365）のDirect Send機能を悪用したフィッシングキャンペーンにより、既に70社以上の企業が被害に遭っているというのです。

この攻撃の恐ろしさは、従来のメールセキュリティ対策をすり抜けて「社内メール」として認識させる点にあります。現役CSIRTメンバーとして数多くのインシデント対応を行ってきた経験から言えば、これは従来の攻撃手法とは一線を画す、極めて巧妙な手口と言えるでしょう。

Direct Send機能とは？なぜ悪用されるのか

Direct Sendは本来、プリンターやネットワーク機器が認証なしで社内宛にメールを送信するためのMicrosoft 365の正規機能です。しかし、この機能には以下のような「セキュリティホール」が存在していました：

認証が不要：送信者の身元確認が行われない
社内メールに偽装可能：M365インフラを経由するため正規メールに見える
テナント情報の推測が容易：ドメイン名から簡単に特定できる

実際の被害事例では、攻撃者がPowerShellのSend-MailMessageコマンドを使用し、「送信者＝受信者」という巧妙な構成でメールを送信していました。これにより、受信者は自分からのメールのように見せかけられ、疑いを持つことなく開封してしまうのです。

従来のセキュリティ対策が無力化される理由

この攻撃が特に危険な理由は、既存のメールセキュリティ製品を無効化してしまう点にあります：

SPF/DKIM/DMARC認証の回避

通常、これらの認証が失敗すればメールはブロックされるはずですが、M365のスマートホスト経由のため「内部通信」と誤認されてしまいます。

サンドボックス検査の回避

多くのセキュリティ製品は、社内メールに対してはサンドボックス検査を行わない設定になっています。攻撃者はこの盲点を巧妙に突いているのです。

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

実際の被害事例から学ぶ教訓

私がフォレンジック調査を担当した類似事例では、中堅商社が同様の手口で侵害されました。経理部門の担当者が「自分からのメール」に見せかけたフィッシングメールを開封し、認証情報を窃取されたのです。

この事例で特筆すべきは、以下の点でした：

セキュリティ製品のログに一切の警告が記録されていなかった
被害者自身も「おかしなメール」として認識していなかった
発見まで3週間を要し、その間に機密情報が継続的に窃取されていた

個人ユーザーも無関係ではない理由

「企業向けの攻撃だから個人には関係ない」と思われるかもしれませんが、それは大きな間違いです。個人ユーザーも以下のリスクに直面しています：

在宅勤務での感染拡大

在宅勤務で個人PCを使用している場合、会社のメールアカウントが侵害されると、同じPC内の個人データも危険にさらされます。実際、アンチウイルスソフトによる定期スキャンで、在宅勤務PC から企業標的型マルウェアが発見されるケースが増加しています。

個人情報の二次被害

企業アカウントの侵害により、個人の連絡先や私的なやり取りが攻撃者の手に渡る可能性があります。

効果的な対策方法

企業レベルでの対策

Microsoftは既に対策を進めており、今後すべてのテナントでDirect Sendをデフォルト無効化する予定です。それまでの間は、以下の設定を推奨します：

PowerShellや管理センターから「Reject Direct Send」を有効化
SPFレコードに固定IPアドレスを登録
DKIM・DMARCの厳格な運用
ポート25・TLS使用の徹底

個人レベルでの対策

**1. アンチウイルスソフトの導入**
最新のアンチウイルスソフトは、このような新しい攻撃手法にも対応しています。特に、メール経由のマルウェア検知機能を強化した製品を選択することが重要です。

**2. VPN の活用**
在宅勤務時はVPN を使用することで、通信経路を暗号化し、中間者攻撃のリスクを軽減できます。特に公共Wi-Fi使用時は必須の対策と言えるでしょう。

**3. メールの慎重な確認**
自分からのメールに見えても、以下の点をチェックする習慣をつけましょう：

送信時刻の確認（自分が送った覚えがあるか）
添付ファイルやリンクの有無
文面の違和感（自分の文体と異なるか）

今後の展望と注意点

この攻撃手法の発覚により、Microsoftは迅速な対応を取っていますが、攻撃者も新たな手法を模索することが予想されます。特に、クラウドサービスの正規機能を悪用する「Living off the Land」攻撃は今後も増加するでしょう。

個人ユーザーにとって重要なのは、企業向けの攻撃であっても、最終的には個人の端末やデータが標的となる可能性があることを理解することです。包括的なセキュリティ対策の一環として、信頼できるアンチウイルスソフトとVPN の導入を強く推奨します。

まとめ

Microsoft 365のDirect Send悪用攻撃は、従来のセキュリティ対策の盲点を突く巧妙な手法です。企業だけでなく、個人ユーザーも間接的な被害を受ける可能性があるため、包括的な対策が必要です。

技術的な対策と併せて、日常的なセキュリティ意識の向上が何より重要です。怪しいメールを受信した際は、たとえ自分からのメールに見えても、慎重に確認する習慣を身につけましょう。