詐欺師がマイクロソフトの内部アカウントを悪用し、スパムリンクを送信中

 (techcrunch.com)
1 ポイント 投稿者 GN⁺ 3 시간 전 | 1件のコメント | WhatsAppで共有
  • 数か月にわたり、詐欺師が マイクロソフトの内部メールアドレス を悪用し、正規のアカウント通知を装ったスパムメールを送信している事案が発生
  • 問題の送信元アドレスは msonlineservicesteam@microsoftonline.com で、本来は2段階認証コードなど重要なアカウント通知に使われる公式チャネル
  • 詐欺師は 新規のマイクロソフトアカウント を作成する方法でシステムの抜け穴を悪用しているが、具体的な回避手法はまだ不明
  • 反スパム非営利団体 The Spamhaus Project が数か月前から同様の悪用事例を観測しており、マイクロソフトに通知
  • マイクロソフトは フィッシング報告に対する調査と対処 を進めており、検知・ブロック機構の強化と利用規約違反アカウントの削除を実施中

事件の概要

  • 数か月にわたり、詐欺師が マイクロソフトの正規アカウント通知送信用の内部メールアドレス を通じてスパムメールを送信する抜け穴を悪用
  • 詐欺師は新規顧客を装って マイクロソフトアカウントを新規作成 し、そのアクセス権を通じてマイクロソフト名義のメール送信が可能に
  • 受信者がメールを 正規の通知と誤認 するリスクがある
  • マイクロソフトは現時点でも問題を完全には封じ込められていない状態

送信されたスパムメールの特徴

  • 先週、TechCrunchの記者が複数のメールアカウントで類似した構成のスパムメールを多数受信
    • すべて msonlineservicesteam@microsoftonline.com のアドレスから送信
    • このアドレスはマイクロソフトが 2段階認証コード やオンラインアカウント関連の重要通知の送信に使用する公式アカウント
  • メールの件名と本文の構成
    • 一部のメールは 不正取引の通知 のように見える公式メールの件名形式を模倣
    • 別のメールは本文に記載されたWebアドレスに 「非公開メッセージが保留中」 と主張
    • メールは粗雑に作られたもの (crudely made)

Spamhaus Projectの観測

  • 反スパム非営利団体 The Spamhaus Project が火曜日のソーシャル投稿で、同じ悪用事例を確認したと発表
    • マイクロソフトのアカウント通知用メールアドレスがスパム送信に悪用される活動が 「数か月」 前から継続していることを観測
  • Spamhaus は「自動化された通知システムは、このレベルのカスタマイズを許してはならない」と指摘
  • 同団体はすでにマイクロソフトへ問題を通知済み

マイクロソフトの対応

  • TechCrunchが週初めにマイクロソフトへ問い合わせた時点では、受領確認のみで締め切りまでに回答はなかった
  • 記事掲載後、外部PR代理店を通じて Emelia Katon がマイクロソフトの公式見解を伝達
    • フィッシング報告について積極的に調査と対処を進めており、顧客保護に努めている」
    • 検知およびブロック機構の強化 を進行中
    • 利用規約違反アカウントの削除 も並行して実施

類似の悪用事例

  • ここ数か月、ハッカーや詐欺師が企業システムを悪用して顧客をだます事件が相次いでいる
  • 今年初めの事例
  • 2023年の事例
  • ソーシャルメディアユーザーによると、他社のメールアドレスも同様にスパム送信へ悪用されており、今回の問題は マイクロソフトに限ったものではない

関連記事

1件のコメント

 
GN⁺ 3 시간 전
Hacker News の意見

  • microsoftonline.com が本物だと、誰が確信できるのかと思う。Microsoft のドメイン管理はあまりにもずさんで、社内ですら自分たちが保有しているドメイン資産の完全な一覧を持っていなくても驚かない
    企業はスパムを見分けるためにドメインを確認しろと insist するのに、いざ公式にメールを送る全ドメインの一覧は公開できないというのが皮肉だ

    • Microsoft が office.com のような読みやすく覚えやすいドメインから、m365.cloud.microsoft という妙に見栄っ張りなドメインへ移った、という話のことかな
    • 少し話は違うが、インドでは保険更新の時期になるたびに、銀行詐欺の電話が1日に最低12件はかかってきていた。銀行が公式の電話番号を公開し、従業員には必ずその公式番号だけを使わせてほしいと思っていたが、最近になって規制当局が実際にそうして、銀行は顧客連絡に 1600 番号 しか使えなくなった
      その後、銀行詐欺の電話は0件に減った
    • Bluesky はさらにひどくて、一部のメールが moderation@blueskyweb.xyz から届く
      とくに身分証のようなものをそのアドレスに送れと言うので、詐欺ではないと安心させる投稿までしなければならなかった: https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227
    • しかもメール内のリンクを クリック追跡ドメイン で包むことがあり、そのドメインが Mailgun のように会社とまったく関係ない場合がある
      そのため、クリックしようとしているリンクを自分で確認しても、正当なメールなのに詐欺っぽいドメインへ飛ぶように見えてしまう
    • 最初に思いついたものを調べてみたら、internalmicrosoft.commicrosoftinternal.com はまだ登録可能だった。これほど悪用の余地が大きいなら、公式ドメインの束をもっと厳格に維持したくなるはずだ

  • 半分くらい関連する話として、Microsoft のセキュリティ は本当にひどい
    先週ずっと Microsoft Authenticator があちこちからログイン試行があると通知を送ってきたのに、ログイン履歴ページは完全に空だった。自分のログインすら表示されない
    パスワードが漏えいしたのかと思うかもしれないが、そうではない。アプリを有効にした既定のログインフローはメール + Authenticator で、パスワードは不要だ。さらにひどいのは、このオプションをアプリから変更できないことだ
    Microsoft は、そのアカウントがまだ存在している唯一の理由が Minecraft を買収したからだと理解して、これ以上私の生活を複雑にしないでほしい

    • Microsoft には、誰かがアカウントへのログインに何度も失敗するとアカウントがロックされ、正しいパスワードでも パスワード再設定 を要求されるという素晴らしい機能もある
      パスワードを変えたあともスマホでメールにログインできず、そのまま諦めた。どうせそのメールは数個の用途にしか使っていないし
    • これは以前のセッション Cookie がブラウザに残っているか、IP が変わっていないときだけではないかと思っていた
      修正: 新しい IP と Firefox のプライベートウィンドウで直接試したら、その通りだった。メールアドレスを入力してアプリ通知を選べる
    • 私も同じことを経験した。Authenticator が「ログイン済み」と言って確認を求めるのに、セキュリティページで確認すると履歴がまったくない
      最初は怖くなって見つけられる限りのセキュリティ設定を全部見直したが、まるで何も起きていないように見えた
      2回目以降は無視するようになったが、不安ではある。既定の Authenticator フローだと、うっかり正しい数字を押してしまう可能性もある
    • 数か月前から私にも同じ現象が起きていて、メールアドレスを変えたら通知が止まった
      実際には以前と同じメールボックスを指すエイリアスを変えただけだ
    • 同じ会社が SMS 二要素認証 をやめて、自分たちの出来の悪い Authenticator アプリを使わせようとしている

  • うちの会社のドメインは m で始まる。最近何人も rn で始まるドメインのフィッシングメールに引っかかったが、Outlook のフォント では両者がほとんど同じに見える

  • 以前 Booking でホテルを予約したとき、Booking サイトのドメインのメールや DM を通じて、ホテルが送ったように見える フィッシングの試み を受け取った
    当時調べた限りでは、ホテルのアカウントが侵害されたというより、Booking 側の何らかのメッセージ/メールエンドポイントが似た形で悪用されているように見えた
    同じ類型かどうかは分からないが興味深いし、とくに Microsoft にすでに報告されていたのに何の対処もなかったという点が目を引く

    • 私が見た PayPal の事例は、たいていホテルのメールか Booking アカウントが侵害されていたケースだった
      宿泊客の立場で、ホテルのシステムからマルウェアやリモートアクセスツールを除去するのを「手伝った」ことが10回以上ある

  • 企業が100万個ものバラバラなドメインを作るのではなく、internal.microsoft.com のような サブドメイン を使うのが明らかな解決策だと思うのに、ここですら誰もその話を持ち出さないほど現実離れしているのが切ない

    • しかも .microsoft まで持っているのに、なぜわざわざそうするのか分からない
    • その通りだ
      以前、ドイツの政府機関がうちの会社にデータエクスポートを求める手紙を送り、findrive-ni.de にアップロードしろと言ってきたことがある
      実際には正当だったが、Niedersachsen 州ドメインのサブドメインでもなく、公式サイトのどこからも参照されていなかった

  • 毎日 Google サーバーから来るスパムメールを20〜30通ほど受け取っている。面白半分で別の SPAM フォルダ に分類している
    誰に連絡すべきか、Google に止めさせるにはどうすればいいのか、サービス悪用をどこに報告すべきかが見つからない。サービス全体が事実上、巨大な「失せろ、連絡されたくない」のようになっている
    私も記事を1本公開して、ここ HN に載るようにしないといけないのかもしれない。そうすれば Google の誰かが見る動機になるかもしれない

    • 私も一度そのウサギ穴に落ちた。見つかる限りの悪用報告チャネルを全部試した
      network-abuse@ は Google Cloud の悪用報告フォームに送られ、そこで「報告書で言及された IP は Google Cloud でホストされていないため対処できない」と言われた
      Gmail の悪用報告には返信すらなかった。結局 Rspamd で Firebase 関連の DKIM 識別子をブロックした
    • ここを試せるかもしれない: https://support.google.com/mail/contact/abuse?hl=en
      先週フィッシングメールを送ったアカウントを提出したが、実質ブラックホールなので何か起きるとは期待しないほうがいいと言われた

  • Meta にも Business Manager の機能の1つに似たバグがあった、あるいはまだある。攻撃者が 冒頭本文テキスト を完全に制御できるので、かなりもっともらしく見える
    これを報告しようとしたが、まったくの無駄だった。バグバウンティのスパムが多すぎて、セキュリティ提出プロセスが時々入ってくる本物の問題までふるい落としているようだ

    • こういうメールをあまりに長く受け取っているので、広く出回っている問題ではなく自分だけが標的にされているのかと思い始めた。Meta が何の対処もしていないように見えたからだ
      メールは実際に noreply@business.facebook.com から来ていて、下のような文面が入っている。どこまでが Meta のテンプレートで、どこからがユーザー入力テキストを創造的に悪用した部分なのか解読しろというレベルだ
      Your Meta's Page may be at risk due to unusual activity...
      Your Page is under restriction review Contact Meta Support: metafanpageviolate@gmail.com ...

  • PayPal でも似たようなことが起きているのか。PayPal ドメイン から来たように見えるメールを受け取っているが、明らかに詐欺だ

    • 私が見た PayPal の事例は、たいてい高額の送金リクエストを送り、その理由を書く自由入力欄に「これが詐欺だと思ったら [実際には詐欺番号] に電話しろ」という偽の文句を入れる方式だった

  • 最近 Google MX サーバーから来るスパムを大量に受け取っていたが、X-Google-Group-Id ヘッダーがあるメールをすべてブロックしたら止まった
    どうやって可能なのか分からないが、内容は100%スパマーが制御していて、Google のテンプレートはなかった

  • 以前 @akamai.com から届いた Coinbase 詐欺メール を受け取ったことがある
    Akamai が買収した企業の1社の SPF 設定が誤っていたのだと思う