Generatived（Beta）｜生成AIの最新ニュースとトレンドを提供

サイバー犯罪者は、複雑なeメールルーティングシナリオや設定ミスのあるなりすまし対策を悪用し、社内コミュニケーションを模倣したフィッシングメールを送信するケースが増えています。マイクロソフトは、2025年5月以降、このような攻撃が増加していると報告しており、フィッシングキャンペーンは日和見主義的になり、様々な業界で蔓延しています。これらのキャンペーンでは、Tycoon2FAなどのFishing-as-a-Serviceプラットフォームがしばしば利用され、偽の人事通知やパスワードリセットプロンプトといった説得力のあるルアーを作成し、受信者を騙して認証情報を漏洩させます。

Microsoftは、これらのフィッシング攻撃はDirect Send機能の脆弱性によるものではなく、複雑なルーティングと不十分なスプーフィング対策に起因するものであると明確に述べています。Office 365を指すMXレコードを持つMicrosoft Exchangeをご利用のお客様は、スプーフィング検出機能が組み込まれているため、この影響を受けません。ただし、異なる構成の組織では、厳格なDMARCおよびSPFポリシーを適用し、サードパーティ製コネクタを適切に設定してドメインスプーフィングを防止することをお勧めします。

これらのフィッシングメールの有効性は、標的の組織内から送信されたように見せかけることで、受信者がメールに反応する可能性を高める点にあります。マイクロソフトはこれらの試みの大部分を検出しましたが、組織はeメールシステムを適切に設定することでリスクをさらに軽減できます。このような詐欺に騙されると、データ窃盗、ビジネスeメール詐欺、偽の請求書による金銭的損失など、深刻な被害を受ける可能性があります。

Microsoftのブログ記事では、これらの攻撃の技術的な側面を詳細に解説し、フィッシングメッセージ、eメールヘッダー、なりすまし対策の事例と分析を提供しています。また、このようなフィッシング攻撃を防ぐためのメールフロールールの設定やコネクタの設定に関するリソースも提供しています。Microsoftのガイダンスに従うことで、組織はこれらの高度なeメールなりすまし攻撃に対する防御を強化できます。