ハクソク

世界を動かす技術を、日本語で。

詐欺師が内部のMicrosoftアカウントを悪用してスパムリンクを送信しています

2日前原文(techcrunch.com)

概要

  • Microsoftの内部メールアドレス が悪用され、スパムメール送信に利用されている事例
  • msonlineservicesteam@microsoftonline.com から偽装メールが多数発信
  • Microsoftは問題を認識し、調査と対策を進行中
  • 他社のメールアドレス も同様に悪用される事例が報告
  • セキュリティ専門家や非営利団体 が警鐘を鳴らす現状

Microsoft内部メールアドレスを悪用したスパムの拡大

  • 数か月間にわたり、詐欺師がMicrosoftの内部メールアドレスを悪用する事案が発生
  • msonlineservicesteam@microsoftonline.com は本来、アカウント警告や二要素認証コードなどの正規通知用
  • 新規Microsoftアカウント作成 を装い、偽装メール送信が可能な抜け道
  • 受信者が 正規の通知と誤認 しやすい構造
  • 詐欺サイトへのリンク や「不正取引通知」など、公式メールを模した件名・内容

社会的反響とMicrosoftの対応

  • Spamhaus Project などの非営利団体がSNSで問題を告発
  • 自動通知システムのカスタマイズ性 が高すぎることを懸念
  • Spamhausは Microsoftに直接通知 し、改善を要請
  • TechCrunchの取材に対し、Microsoftは調査中と回答
  • Emelia Katon (PR代理店経由)から「検知・ブロック強化、違反アカウント削除を継続」と声明

他社事例と広がる被害

  • Betterment のプラットフォームがハッキングされ、仮想通貨詐欺通知が発信された事例
  • Namecheap でも2023年に同様のフィッシングメール送信事件
  • SNS上で 他社メールアドレスの悪用 報告も相次ぐ
  • 問題は Microsoftだけに限定されない 広範なもの

セキュリティ対策と今後の課題

  • 自動通知システムのセキュリティ強化 の必要性
  • 検知・ブロック機能の改善 が急務
  • ユーザー側でもメールの真正性確認 が重要
  • 今後も 企業とユーザー双方の警戒心強化 が求められる状況

著者・連絡先情報

  • Zack Whittaker :TechCrunchセキュリティ編集者
  • Signal(zackwhittaker.1337)メール(zack.whittaker@techcrunch.com) で連絡可能
  • 週刊サイバーセキュリティニュースレター も執筆

Hackerたちの意見

PayPalでも似たようなことが起きてるのかな?明らかに詐欺のメールがPayPalのドメインから届いてるんだけど。

PayPalから見たやつは、基本的にお金を大量に請求するリクエストを送って、その理由の自由記述欄に「これが詐欺だと思うなら、[実際は詐欺の番号]に電話して」みたいな偽のテキストを入れてる感じ。

PayPal自体が詐欺だよね。

ちょっと前にBookingでホテルの予約をしたとき、Bookingのドメインから直接来たフィッシングの試みがあったんだ。ホテルから「送信」されたっていうDMも含めてね。その時調べた感じだと、ホテルのアカウントが侵入されたっていうより、Booking側のメッセージやメールのエンドポイントが悪用されてるように見えた。これが同じタイプの問題かは分からないけど、面白いと思った。特に、MSに報告されてるのに何も対策が取られてないっていうのがね。

こういうのって、ハッキングされたホテルのメールアカウントか予約アカウントばっかり見てきたわ。ゲストとして、ホテルのシステムからマルウェアやRATを取り除くのを手伝わされたことが十回以上あるよ。

microsoftonline.comが本物かどうか、誰が確信を持てるんだろう。マイクロソフトのドメインの話は本当にごちゃごちゃしてるから、社内ですら全てのドメイン資産の完全なリストを持ってないんじゃないかって思うよ。でも、彼らだけじゃないよね。企業がスパムを見分けるためにドメインを確認するように言うのは皮肉だよね。でも、自分たちが公式に使ってる全ドメインのリストを公開できないっていうのは。

公式に使ってる全ドメインのリストを公開できない それは、スパムとして報告されるから、ドメインを変えて回避してるんだよ。

こんな大きな組織では、こういったリストは絶対に存在しないだろうね。管理や運営が委任されてる量を考えると。実際、公開企業で規制された組織や政府と直接関わるビジネスの一部は、敏感な性質を持ってるから、そんなリストが存在することすら許可されてない可能性が高い。MSの古参の人がこのことについてブログで意見を述べるのを聞いてみたいな。こういう巨大な組織で働くことから生じる似たような問題についても。正直言って、彼らが新しいものをリリースするのは奇跡だと思うよ。ビジネスのあらゆる面でのガバナンスや手続きの量はすごいだろうね。

Blueskyはもっとひどいよ、彼らのメールの一部は「moderation@blueskyweb.xyz」から来るんだ。特に、IDとかをそのアドレスに送るように頼むから、詐欺じゃないって人々に保証するために投稿しなきゃいけないんだよね:https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227

脱線だけど、インドでは保険の更新時に毎日少なくとも十数件の銀行詐欺の電話を受けてたんだ。銀行には公式の電話番号を公開して、従業員には公式の番号だけを使うように義務付けてほしかった。最近、規制当局がそれを実施して、銀行は顧客に連絡するために1600番号だけを使うことになったんだ。おかげで、銀行詐欺の電話はゼロに減ったよ。

誰がmicrosoftonline.comが本物だって確信できるの? そうだね。思いついたことを調べたら、internalmicrosoft.comやmicrosoftinternal.comが取れる状態だった。こんなに可能性があるなら、公式ドメイングループはしっかり管理したいよね。

誰がmicrosoftonline.comが本物だって確信できるの? スパムフィルター。

破産弁護士に相談してた時、会社が持ってるドメイン資産を調べるのがよくある問題だった。代表者は一部のドメインしか知らなくて、実際にはもっと見つかったりした。同じように、サードパーティのサービスも、しばらく使ってたけど、顧客データを集めた後にやめて、そのままお金を払い続けて忘れちゃうことがあった。こういうのは、会計の分析を通じて見つけることが多かったね。

https://github.com/HotCakeX/MicrosoftDomains ... それにmicrosoftonline.comは含まれてない(microsoftonline.netや他のバリエーションとは違って)。でも、2002年に登録されたみたいで、記録は本物っぽいよね: https://whois.domaintools.com/microsoftonline.com

それには慣れたけど、こないだウェブブラウザでOutlookをチェックしてたら、outlook.cloud.microsoftにたどり着いちゃって、目を疑ったよ。

あのインドのMicrosoftサポートセンターのこと、覚えてる?そこに電話した翌日にインドの詐欺師から電話がかかってくるっていう不思議な相関関係。因果関係を示唆してるわけじゃないけど…。

毎日20〜30通のスパムメールがGoogleのサーバーから届いてる。面白半分で、別のSPAMフォルダに振り分けてるけど。誰に連絡すればいいの? Googleに止めさせるにはどうすればいいの? サービスの悪用をどこに報告すればいいのか分からない。全体的に、サービスは大きなブラックホールみたいで、「連絡は不要」って感じ。もしかしたら、ここHNに載せるために記事を公開する必要があるのかな? それがGoogleの誰かに目を向けさせるきっかけになるかも。

試してみて: https://support.google.com/mail/contact/abuse?hl=en 先週、フィッシングメールを送ったアカウントを報告したけど、基本的にブラックホールだって言われて、何も起こらないと思っておいた方がいいよ。

ちょっと関連する話だけど、Microsoftのセキュリティって本当にひどいよね。ここ一週間、Microsoft Authenticatorがランダムな場所からのサインインを通知してくるんだけど、ログイン履歴のページは完全に空っぽなんだ。自分のサインインすら表示されない。パスワードが漏れたと思うかもしれないけど、そうじゃないんだ。アプリを有効にしていると、デフォルトのサインインフローはメール+Authenticatorで、パスワードは不要なんだよね。彼らの永遠の知恵で、このオプションはアプリ内で変更できない。Microsoftは、アカウントがまだ存在する唯一の理由はMinecraftを買ったからだってことを理解して、私の生活をもっとシンプルにしてほしい。

私もこれが来てる。Authenticatorから「ログイン中」とか確認を求める通知が来るけど、セキュリティを確認しに行くと履歴が全くないんだ。最初はめっちゃ焦ったけど、見つけられるセキュリティ設定を全部確認したけど、まるで何も起こらなかったかのようだった。二回目は無視したけど、ちょっと不安になるよね。デフォルトのAuthenticatorフローだと、うっかり正しい番号を押しちゃう可能性もあるし。

アプリを有効にしていると、デフォルトのサインインフローはメール+Authenticator。パスワードは不要 これは、ブラウザが前のセッションのクッキーを持っているか、IPが変わっていない場合だけじゃない? 編集: 新しいIP+プライベートウィンドウのFirefoxで試してみたけど、君が言ってる通りだね。メールを入力してアプリの通知を選べるよ。

SMSの2段階認証をやめさせて、クソみたいなAuthenticatorアプリを使わせようとしてる同じ会社だよ。

誰かがアカウントに何度もログイン失敗すると、アカウントがロックされてパスワードをリセットするように求められるっていうクールな機能もあるよね。しかも、働いているパスワードで。パスワードを変更した後でも、携帯でメールにログインできなくて、もう諦めたよ。どうせそのメールは数個のことにしか使ってないし。

これ、数ヶ月前から始まったんだ。メールアドレスを変更したら(実際には前と同じメールボックスのエイリアスだけど)、通知が止まったよ。

ランダムな2段階認証コードのメールが来たから、パスワードが漏れたと思ったよ。でも、Microsoftのメールアドレスが侵害されたってだけで少し安心したかな。

Metaもビジネスマネージャーの機能の一つで似たようなバグがあった(今もあるのかな)。攻撃者が初期の本文を完全にコントロールできるから、すごく説得力があるんだ。これを報告しようとしたけど、無駄な努力だったと思う。彼らはバグバウンティのスパムが多すぎて、たまにある正当な問題もフィルターで弾かれちゃうんだろうね。

ずっとこれを受け取ってたから、私だけが狙われてるのかなって思ってた。Metaが何もしないみたいだし。noreply@business.facebook.comからの本物のメールで、以下の内容が書かれてる。どの部分がMetaのテンプレートで、どの部分がユーザーが提供したテキストのクリエイティブな使い方か、解読してみて。 「あなたのMetaのページは異常な活動のためにリスクにさらされているかもしれません。Metaとは関係がありません。知っていて信頼できる人やビジネスからのリクエストや招待だけを承認してください。Metaはメールでパスワードや支払い情報、個人情報を求めることはありません。パートナーリクエストを受け取りました。パートナーはFacebookで一緒に働く他のビジネスです。パートナーシェアリングを使うと、ビジネス資産へのアクセスを提供できますが、ビジネスポートフォリオにはアクセスできません。このリクエストは次のものからです:あなたのページは制限レビュー中です。Metaサポートに連絡してください:metafanpageviolate@gmail.com。詐欺から自分を守るために、公式の連絡先情報を使ってリクエスターの身元を確認してください。」

明らかな解決策だと思ってるのに、企業がinternal.microsoft.comみたいなサブドメインを使うのではなく、たくさんの異なるドメインを作ることが全然進んでないのが悲しい。ここで誰もそのことを言い出さないなんて。

その通りだね。昔、ドイツの政府機関からデータエクスポートを求める手紙が来たことを思い出した。findrive-ni.deにアップロードするようにって。結局本物だったけど、ニーダーザクセン州のドメインのサブドメインでもなければ、公式サイトにも載ってなかった。

最近、GoogleのMXサーバーから大量のスパムを受け取ってて、X-Google-Group-Idヘッダーのあるメールを全部ブロックした。どうやってそんなことが可能なのか分からないけど、内容は100%スパマーがコントロールしてて、Googleのテンプレートは全くなかった。

僕の会社のドメインは「m」で始まるんだけど、最近「rn」で始まるフィッシングメールの被害に遭った人がたくさんいる。Outlookのフォントだと、二つはほとんど見分けがつかないんだよね。

野生のケミング攻撃だね…。