詐欺師がMicrosoftの内部アカウントを悪用してスパムメール送信
原題: Scammers are abusing an internal Microsoft account to send spam links
なぜ重要か
企業の正規システムを悪用した詐欺手法の巧妙化により、セキュリティ対策の見直しが業界全体で急務となっている
詐欺師が数ヶ月にわたりMicrosoftの内部メールアドレス「msonlineservicesteam@microsoftonline.com」を悪用し、偽の通知メールを送信している。このアドレスは通常、二要素認証コードなど正規のアカウント通知に使用される。Microsoftは調査中と発表した。
詐欺師がMicrosoftの内部システムの抜け穴を利用し、正規の顧客として新規アカウントを作成してスパムメールを送信している問題が明らかになった。悪用されているのは「msonlineservicesteam@microsoftonline.com」というアドレスで、通常は二要素認証コードやアカウントに関する重要な通知の送信に使用される正規のMicrosoftメールアドレスだ。
TechCrunchの記者は先週、複数のメールアカウントで同様の構造を持つ詐欺メールを受信したと報告している。これらのメールには不正取引を警告する件名や、受信者宛ての秘密メッセージがあると主張する内容が含まれていた。
スパム対策非営利団体のSpamhaus Projectは火曜日のソーシャルメディア投稿で、この問題が「数ヶ月前」から続いていることを確認し、「自動通知システムはこのレベルのカスタマイズを許可すべきではない」と指摘した。同団体はMicrosoftにこの問題を通知したという。
Microsoftの広報担当者Emelia Katonは「フィッシング報告を積極的に調査し、顧客保護のための対策を講じている。検出・ブロック機能のさらなる強化と、利用規約に違反するアカウントの削除を行っている」と述べた。
類似の事件は他社でも発生しており、今年初めにはフィンテック企業Bettermentのプラットフォームがハッカーに侵入され、暗号通貨詐欺の偽通知が送信された。2023年にはNamecheapのメールアカウントが悪用されてフィッシングメールが送信される事件も起きている。