Microsoft 365の「Direct Send」機能を悪用 巧妙なフィッシング攻撃の実態：セキュリティニュースアラート

Microsoft 365のDirect Send機能を悪用し、内部ユーザーになりすましたフィッシング攻撃が見つかった。あたかも企業内部から発信されている正規の電子メールのように見せかけ、セキュリティ検知を回避して悪質なWebサイトに誘導するという。

[後藤大地，有限会社オングス]

　Varonisは2025年6月26日（現地時間）、同社のMDDR（Managed Data Detection and Response）フォレンジックチームが「Microsoft 365」の「Direct Send機能」を悪用した大規模なフィッシングキャンペーンを発見したと伝えた。

　この攻撃はアカウントを乗っ取ることなく内部ユーザーを装って電子メールを送信する手法を使っており、70以上の組織が影響を受けた。このフィッシングキャンペーンは2025年5月初旬に開始され、2カ月以上にわたり継続的に活動が確認されている。

内部ユーザーになりすまし電子メールを送信　巧妙な手法の詳細

　Direct Sendは「Microsoft Exchange Online」で認証なしに内部テナント内で電子メールを送信できる機能で、本来はプリンタや業務用ツールからの通知メール送信を目的としたものだ。だが今回、認証が不要という点が攻撃者にとって格好の標的となっていることが分かった。

　攻撃者は企業のドメイン名やメールアドレスといった公開情報を利用し、内部ユーザーになりすました電子メールを送信する。これによってあたかも企業内部から発信されている正規の電子メールのように見せかけ、セキュリティ検知を回避している。

　この攻撃手法の特徴は外部からMicrosoftのスマートホスト（例：tenantname.mail.protection.outlook.com）を経由して、内部ユーザーから送られたかのような電子メールを生成する点にある。「PowerShell」を利用し、「From」と「To」に同じ内部アドレスを設定することで、本人から自分宛に電子メールを送信したように偽装する。

　電子メールの内容は「未確認のファクス通知」などを装い、PDFファイルを添付する。このPDFにはQRコードが埋め込まれており、読み取ることでフィッシングサイトに誘導され、Microsoft 365の認証情報を入力させる仕組みになっている。

　このような電子メールはMicrosoftのインフラを通過するため、同一テナント内の内部通信として処理される場合がある。そのため、SPF（送信元ポリシーフレームワーク）やDKIM、DMARCといった認証が失敗しているにもかかわらず、セキュリティゲートウェイをすり抜けることが可能だ。メールヘッダの解析によって、攻撃が外部IP（例：139.28.36.230）から送信されていること、SPFやDMARCが失敗していること、DKIM署名が存在しないことが確認されている。

　この攻撃の検出には送信者と受信者が同一の電子メールや、PowerShellなどのコマンドラインツールから送信されている痕跡、通常とは異なる地理的位置からの送信といった兆候を監視する必要がある。Varonisは、ウクライナのIPアドレスから企業内部のユーザーに成りすましたメール送信が確認されている事例を報告しており、これはログイン試行なしで内部活動があった異例のケースとしている。

　対策としては、「Exchange 管理センター」で「Direct Sendの拒否」設定を有効にすること、DMARCポリシーを厳格に設定すること（例：p=reject）、SPFのハードフェイルを適用すること、未認証の内部メールにフラグを立てることなどが推奨される。ユーザーへの啓発も重要であり、とくにQRコードを用いた攻撃（Quishing）への注意喚起が求められている。加えて、多要素認証（MFA）の全ユーザーへの適用や、条件付きアクセスの運用も効果的だ。

　このようにDirect Sendは本来便利な機能ではあるが、保護が施されていない状態では強力な攻撃手段に転用されるリスクがある。内部通信という理由だけで信頼するのではなく、その構造や挙動を常に監視し、組織ごとのセキュリティポリシーの見直しが必要となる。攻撃の技術的ハードルが低いことから、今後も同様の手法によるフィッシングが広がる可能性が高く、早急な対策が求められる。