MicrosoftやGoogleから？信頼できる送信元を装うフィッシングの新たな罠

長年にわたり、企業はメールセキュリティの基盤としてSecure Email Gateway(以下SEG)に依存してきました。

しかし、Microsoftが近年、自社のセキュリティ機能を強化してきたことで、SEGとMicrosoftの検知機能や技術で同じものが重なってきています。したがって、サイバー犯罪者にとっては、SEGとMicrosoftの両方が採用している、シグネチャベースやレピュテーションベースの検知技術をすり抜けることができれば、ターゲットにヒットできるということになります。

こうした状況の中で、攻撃者たちはメールの到達成功率を高めるために様々な戦術を試行し続けており、その結果として、フィッシングメールはこれまでになく巧妙かつ高度化しています。

KnowBe4の最新の「フィッシング脅威トレンドレポート」では、フィッシング攻撃の件数が増加傾向にあり（2024年9月15日から2025年2月14日の期間で前の6ヶ月と比べて17.3%増）、さらに多くの攻撃が検知を回避していることが明らかになりました。また、KnowBe4 Threat Labsの調査によると、2024年にはMicrosoftやSEGをすり抜けた攻撃が47.3%も増加していることが分かりました。

では、サイバー犯罪者はどのようにしてこれを成し遂げているのでしょうか？本ブログでは、検知回避に使われている数ある手法の中から、”正規ドメインの悪用” に焦点を当てて解説します。

Microsoftを使ったフィッシング攻撃

2025年、KnowBe4 Threat Labsは、フィッシング攻撃に使用された正規のプラットフォームのトップ5は、DocuSign、PayPal、Microsoft、Google Drive、Salesforceと特定しました。これらのサードパーティプラットフォームの使用数は、前年比で67.4%増加しています。攻撃者が正規プラットフォームを使うことで、侵害されたアカウントから送信されるメールと同様に、受信者の警戒心を下げ、SEGのレピュテーションベースの検知を回避しやすくなります。

レピュテーションベースの検知は、ドメインの使用年数や認証（SPF、DKIM、DMARC）、過去のやり取りなどに基づいています。MicrosoftやDocuSignのようなドメインは通常ホワイトリストに登録され、認証にも問題がないため、SEGはそれらから送信されたメールを正規なものと判断してしまいます。また、これらのドメインに対するユーザーの信頼も高く、メールに反応してしまう可能性が高まります。

KnowBe4 Threat Labsは、サードパーティプラットフォームを使用して、実際にMicrosoftやSEGの検知を回避することに成功した2つのキャンペーン事例を分析しました。

1. 2025年1月1日から3月7日において、会計ソフトウェアQuickBooksを使用したフィッシングメールが36.5%増加しました。攻撃者はQuickBooksの無料アカウントを作成し、メール送信機能を活用して攻撃用メールを作成し、送信ボタンを押すだけで大量の攻撃を仕掛けることができます。
   
   
2. 正規のMicrosoft請求書を悪用した攻撃事例も増えています。KnowBe4 Threat Labsが分析した攻撃では、ソーシャルエンジニアリングとメールフローのルールを組み合わせ、認証チェックに検知されることなく攻撃を成立させていました。

正規ドメインを使ったペイロードの難読化

前の6ヶ月と比べて、2024年9月15日から2025年2月14日の期間で、攻撃やペイロードを難読化するための技術的手法の使用が22.7%増加しました。

難読化の手法のひとつに、正規のハイパーリンクを使用する方法があります。正規のハイパーリンクを使用することで、攻撃者は、信頼できるサイトにマルウェアをホストすることや正規のリンクを使って悪意あるURLを隠すことが可能になります。

2025年、Threat Labsチームが特定した、ペイロードの隠蔽に使われた主なドメインは以下の通りです：

• google.com
• sharepoint.com
• dropbox.com
• youtube.com
• docusign.com
• tiktok.com
• kahoot.com

特に注意が必要なのは、2024年9月15日から2025年2月15日の間で、6ヶ月前と比べ急増している、Googleスライド（201.5%増）およびKahoot（154.5%増）のリンクです。

この手法は、署名ベースの検知を回避しやすいという特徴があります。署名ベースの検知は、過去にフラグ付けされたドメイン、ペイロード、リンクなど”既知の悪意ある要素”を検知することに依存しています。そのため、信頼されている正規ドメインは、ブロックリストに含まれておらず、攻撃者は正規ドメインを使ってペイロードを隠し、SEGによる検知を困難にします。

組織はどう対応すべきか？

正規ドメインから送信された攻撃をテクノロジーが見抜くのが困難な今、従業員がそれを見抜くのはさらに難しいと言えます。

調査結果が示すように、Microsoft、DocuSign、Googleといった信頼されるプラットフォームから送信されるフィッシング攻撃は、ますます検知が困難となっており、組織にとって大きな課題となっています。サイバー犯罪者は、こうした正規ドメインに対する信頼を悪用し、署名ベースやレピュテーションベースの検知をすり抜けてきます。その結果、悪意あるメールが組織の防御網を突破してしまう可能性が高まっています。

いまこそ、既存のセキュリティで見逃されているフィッシングメールを可視化し、より高度なアンチフィッシング製品を導入して、従業員、顧客、データを保護する体制を整える必要があります。

さらに、人によるリスクに対応するため、従業員への個別トレーニングを併せて実施することが不可欠です。従業員に高度なフィッシング攻撃の見極め方を教育し、ツールを提供することで、正規ドメインを悪用する攻撃に対する組織全体の防御力を高めることができます。

現在のフィッシングの状況を踏まえると、ドメインは見た目で判断してはいけないと頭に刻むことが必要になります。

原典：James Dyer著 2025年4月9日発信 https://blog.knowbe4.com/the-real-deal-how-cybercriminals-exploit-legitimate-domains