KnowBe4 Threat Labパブリケーション
著者:James Dyer、Lucy Gee
KnowBe4 Threat Labは、SVG(Scalable Vector Graphics)ファイルの使用を使った攻撃が増加していることを観測しました。
2025年3月3日、KnowBe4のThreat Labs Teamは、正規のMicrosoftドメインを発信元とする大量のフィッシング攻撃を観測しました。
KnowBe4 Defendは、2月24日からこの活動を検知しており、3月3日には30分間で7,000件の攻撃がmicrosoft-noreply@microsoft.comから記録され、ピークに達しました。
攻撃者は、Microsoftの正規請求書を自動で転送するメールルーティングルールを設定し、DMARCを通過するなど、認証の整合性を維持したまま、巧妙な手口でマルウェアを仕込んでいました。
この急増は、DocuSign、PayPal、Google Drive、Salesforceなど、信頼されたプラットフォームを悪用した一連のフィッシング攻撃の一つで増加しています。Microsoftを利用することで、攻撃の到達率と信憑性が高まり、ユーザーやセキュリティシステムによる検出とブロックが一層困難になっています。
30分間の急増が観測されましたが、これはMicrosoft側での大量メール処理の遅延によるものである可能性が高く、実際には数時間にわたり攻撃が継続し、KnowBe4のお客様以外の数千人にも影響を与えたと考えられます。
攻撃の概要
このキャンペーンで分析されたすべての攻撃は、KnowBe4 Defendによって検知・無効化され、Threat Labs Teamが分析を行いました。
- 手法と種類:Eメールフィッシング
- テクニック:ソーシャルエンジニアリングと正規ブランドの乗っ取り
- 対象:全世界のMicrosoft利用者
今回の攻撃では、攻撃者はMicrosoftの正規請求書を乗っ取り、自動転送ルールを使って数千人にフィッシングメールを配信しました。攻撃者は、自らのMicrosoftドメインを設定することで、認証プロトコルを通過しました。その後、自身の組織名として、被害者に電話をかけるように促す自然なメッセージを仕込んでいます。リンクなどはすべて正規のもので、他のマルウェア的要素は含まれていません。
攻撃の一例
以下は、このキャンペーンの一環として検知された攻撃メールの例で、microsoft-noreply@microsoft.comから送信されています。Microsoftの正規ドメインから送られているため、SPF、DKIM、DMARCといった標準の認証チェックをすべて通過しており、Microsoft 365やSecure Email Gateway(SEG)などの従来のセキュリティ製品では検出が困難です。
攻撃メールの本文を詳しく見ると、「Microsoft Defender for Office 365」の購入請求書の体裁で、注文番号やライセンス数など、すべて正規の情報が記載されています。リンクもすべてMicrosoftの公式サイトにリダイレクトされます。
問題のあるコンテンツは「アカウント情報」のセクションにあり、「アカウント名」が実際には悪意あるペイロードとなっています。このメールは、689.89米ドルのサブスクリプションの購入が完了されたと記載してあります。この値段は、ライセンス数に対してかなり高額に設定されているため、この値段に対する承認がされていなければ、払い戻しのために記載の電話番号に連絡するよう促しています。
なお、通常Microsoftはメール内に電話連絡の手段を記載せず、サポートはオンラインチャットを通じて行い、必要な場合に限ってMicrosoft側から電話をかけると明記されています。
もし被害者が電話をかけると、攻撃者はMicrosoftのサポートを装い、銀行情報や資格情報などの機密情報を詐取しようとする可能性があります。また、被害者のメールアドレスや電話番号など確認したり、セキュリティの甘いスマートフォンなど別デバイスへの誘導も狙えます。
攻撃者はどのようにMicrosoftを乗っ取ったのか?
Threat Labs Teamの調査によると、攻撃者はMicrosoftのインフラを悪用して、極めて高度なフィッシング攻撃を実行していました。
まず、攻撃者はMicrosoft上に正規のテナントを作成し、その際に組織名を自由に設定できる仕組みを利用して、組織名を「Your subscription has been successfully purchased for 689.89 USD using your checking account. If you did not authorize this transaction, please call [phone number] to request a refund.」として登録しました。
これにより、メール送信時に本文を書き換える必要がなく、認証を保持したままソーシャルエンジニアリングされたペイロードを埋め込むことができます。結果として、途中改ざんの有無をチェックする従来の認証ベースの防御策では検出できませんでした。
次に、攻撃者は自らのドメインにメールフロールールを設定し、Microsoftから届いたメールを指定のリストに自動転送するようにしました。
Threat Labsの調査によると、Microsoftは1つのテナントにつき最大300件のメールフロールールを許可しており、各ルールは1,000件以上のアドレスへの転送が可能です。これにより、攻撃者は多くの被害者アドレスを登録することができました。
攻撃者はさらに「Microsoft Defender for Office 365(Plan 2)Faculty」を10件購入し、Microsoftから送られてきた正規の確認メールを即座にすべてのターゲットに転送しました。
ヒューマンリスクマネジメントで高度な脅威に対処する
今回の攻撃で使用された、正規ドメインを認証を崩さずに乗っ取る手法、大量配信のためのメールフロールールの悪用、そしてソーシャルエンジニアリングによってワークデバイスからモバイルデバイスへと攻撃を移すテクニックなどは、非常に洗練されたアプローチです。これは、サイバー犯罪者が目的達成のためにどれほど手の込んだ手法を用いるかを如実に表しています。
これらの脅威に効果的に対抗するには、タイムリーなユーザー教育とコーチング、そして高度なアンチフィッシング技術の組み合わせが不可欠です。ユーザーにフィッシングの危険性と疑わしいメッセージの見分け方を教育することは重要ですが、同時に機械学習やAIを活用した検知技術もまた、脅威の特定と無力化に大きな役割を果たします。こうしたアプローチを組み合わせることで、個人や組織を高度なフィッシング攻撃からより効果的に保護できます。
Defendによる検知手法
onmicrosoft.comドメインの使用:Microsoft 365登録時、組織には「organization-name.onmicrosoft.com」という形式のデフォルトドメインが割り当てられます。これは主に内部管理に使用されているドメインですが、今回の攻撃ではこのドメインが「To」アドレスとして使われていました。
この攻撃では、悪意あるメールが特定のアドレス(例:our-company@)宛に送信され、複数のMicrosoftテナントを標的としていました。しかし、組織の公開ドメインではなく、「To」アドレスが“.onmicrosoft.com”で終わっていたのです。この不一致は、KnowBe4 Defendが検知してフラグを立てる重要なデータポイントの1つです
“To”アドレスとRSecアドレスの不一致:メールの”To”アドレスが共有メールボックスでありながら、実際の受信者(R-to)は共有メールアドレスに含まれる全員およびall@company.comなどの汎用的なアドレスが使用されていました。Defendはこれらの不一致を検出し、悪意のあるものとしてフラグを立てました。
“To”アドレスと本文のドメインとの不一致:メール本文内に記載されたドメインと”To”アドレスが一致していませんでした。
言語的な異常:電話をかけるよう促す表現は、Microsoftの通常の表現ではないため、これもフィッシングの兆候として検知されました。
原典:James Dyer著 2025年3月27日発信 https://blog.knowbe4.com/surge-in-phishing-attacks-hijacking-legitimate-microsoft-communications