ハクソク

世界を動かす技術を、日本語で。

詐欺師が内部のMicrosoftアカウントを悪用してスパムリンクを送信しています

2026年5月24日原文(techcrunch.com)

概要

  • Microsoftの内部メールアドレス が悪用され、スパムメール送信に利用されている事例
  • msonlineservicesteam@microsoftonline.com から偽装メールが多数発信
  • Microsoftは問題を認識し、調査と対策を進行中
  • 他社のメールアドレス も同様に悪用される事例が報告
  • セキュリティ専門家や非営利団体 が警鐘を鳴らす現状

Microsoft内部メールアドレスを悪用したスパムの拡大

  • 数か月間にわたり、詐欺師がMicrosoftの内部メールアドレスを悪用する事案が発生
  • msonlineservicesteam@microsoftonline.com は本来、アカウント警告や二要素認証コードなどの正規通知用
  • 新規Microsoftアカウント作成 を装い、偽装メール送信が可能な抜け道
  • 受信者が 正規の通知と誤認 しやすい構造
  • 詐欺サイトへのリンク や「不正取引通知」など、公式メールを模した件名・内容

社会的反響とMicrosoftの対応

  • Spamhaus Project などの非営利団体がSNSで問題を告発
  • 自動通知システムのカスタマイズ性 が高すぎることを懸念
  • Spamhausは Microsoftに直接通知 し、改善を要請
  • TechCrunchの取材に対し、Microsoftは調査中と回答
  • Emelia Katon (PR代理店経由)から「検知・ブロック強化、違反アカウント削除を継続」と声明

他社事例と広がる被害

  • Betterment のプラットフォームがハッキングされ、仮想通貨詐欺通知が発信された事例
  • Namecheap でも2023年に同様のフィッシングメール送信事件
  • SNS上で 他社メールアドレスの悪用 報告も相次ぐ
  • 問題は Microsoftだけに限定されない 広範なもの

セキュリティ対策と今後の課題

  • 自動通知システムのセキュリティ強化 の必要性
  • 検知・ブロック機能の改善 が急務
  • ユーザー側でもメールの真正性確認 が重要
  • 今後も 企業とユーザー双方の警戒心強化 が求められる状況

著者・連絡先情報

  • Zack Whittaker :TechCrunchセキュリティ編集者
  • Signal(zackwhittaker.1337)メール(zack.whittaker@techcrunch.com) で連絡可能
  • 週刊サイバーセキュリティニュースレター も執筆

Hackerたちの意見

PayPalでも似たようなことが起きてるのかな?明らかに詐欺のメールがPayPalのドメインから届いてるんだけど。

PayPalから見たやつは、基本的にお金を大量に請求するリクエストを送って、その理由の自由記述欄に「これが詐欺だと思うなら、[実際は詐欺の番号]に電話して」みたいな偽のテキストを入れてる感じ。

PayPal自体が詐欺だよね。

ちょっと前にBookingでホテルの予約をしたとき、Bookingのドメインから直接来たフィッシングの試みがあったんだ。ホテルから「送信」されたっていうDMも含めてね。その時調べた感じだと、ホテルのアカウントが侵入されたっていうより、Booking側のメッセージやメールのエンドポイントが悪用されてるように見えた。これが同じタイプの問題かは分からないけど、面白いと思った。特に、MSに報告されてるのに何も対策が取られてないっていうのがね。

こういうのって、ハッキングされたホテルのメールアカウントか予約アカウントばっかり見てきたわ。ゲストとして、ホテルのシステムからマルウェアやRATを取り除くのを手伝わされたことが十回以上あるよ。

microsoftonline.comが本物かどうか、誰が確信を持てるんだろう。マイクロソフトのドメインの話は本当にごちゃごちゃしてるから、社内ですら全てのドメイン資産の完全なリストを持ってないんじゃないかって思うよ。でも、彼らだけじゃないよね。企業がスパムを見分けるためにドメインを確認するように言うのは皮肉だよね。でも、自分たちが公式に使ってる全ドメインのリストを公開できないっていうのは。

公式に使ってる全ドメインのリストを公開できない それは、スパムとして報告されるから、ドメインを変えて回避してるんだよ。

こんな大きな組織では、こういったリストは絶対に存在しないだろうね。管理や運営が委任されてる量を考えると。実際、公開企業で規制された組織や政府と直接関わるビジネスの一部は、敏感な性質を持ってるから、そんなリストが存在することすら許可されてない可能性が高い。MSの古参の人がこのことについてブログで意見を述べるのを聞いてみたいな。こういう巨大な組織で働くことから生じる似たような問題についても。正直言って、彼らが新しいものをリリースするのは奇跡だと思うよ。ビジネスのあらゆる面でのガバナンスや手続きの量はすごいだろうね。

Blueskyはもっとひどいよ、彼らのメールの一部は「moderation@blueskyweb.xyz」から来るんだ。特に、IDとかをそのアドレスに送るように頼むから、詐欺じゃないって人々に保証するために投稿しなきゃいけないんだよね:https://bsky.app/profile/safety.bsky.app/post/3ljp6zi7tp227

脱線だけど、インドでは保険の更新時に毎日少なくとも十数件の銀行詐欺の電話を受けてたんだ。銀行には公式の電話番号を公開して、従業員には公式の番号だけを使うように義務付けてほしかった。最近、規制当局がそれを実施して、銀行は顧客に連絡するために1600番号だけを使うことになったんだ。おかげで、銀行詐欺の電話はゼロに減ったよ。

誰がmicrosoftonline.comが本物だって確信できるの? そうだね。思いついたことを調べたら、internalmicrosoft.comやmicrosoftinternal.comが取れる状態だった。こんなに可能性があるなら、公式ドメイングループはしっかり管理したいよね。

誰がmicrosoftonline.comが本物だって確信できるの? スパムフィルター。

Hacker Newsで議論の続きを見る