Microsoftの正規アドレスから届くフィッシングメール、その仕組みとは

つまり、攻撃者はフィッシングメールを直接送るのではなく、Microsoftの通知テンプレートに詐欺メッセージを「注入」する形で攻撃を成立させています。

フィルターを回避するための工夫

研究者は、このキャンペーンで使われるいくつかの回避テクニックも確認しています。

・件名ハイジャック — ブランド欄に長い詐欺メッセージを書き、件名やプレビュー部分を支配する
・文字の置き換え（ホモグリフ） — 見た目が似た別の文字を使いキーワード検出を回避
・電話番号の隠蔽 — 数字の代わりに文字や特殊記号を混ぜてスパムフィルターを回避

これにより、機械による検出を逃れつつ、人間には詐欺内容が読めるようになっています。

なぜ「本物」に見えてしまうのか

この攻撃の厄介な点は、メールが単なる偽装ではないことです。

Microsoftの通知システムが実際にメールを送るため、メールは通常の認証チェックである SPF・DKIM・DMARC を通過する可能性があります。

さらに、受信者にはMicrosoftのセキュリティ通知で見慣れた送信元アドレスが表示されるため、疑いにくくなります。

つまり

• 信頼された送信インフラ
• 正規のドメイン
• 公式テンプレート

という要素が揃い、一般的なフィッシングよりも説得力のあるメールになってしまいます。

研究者やスパム対策団体の報告

この問題については、複数の調査で次のような状況が報告されています。

・複数の受信箱で同じ構造の詐欺メールが確認された。
・内容は「不正購入」「請求トラブル」「サポート連絡」などのテーマが多い。
・大量の使い捨てMicrosoft 365テナントが作られ、短期間で破棄される“バーン＆チャーン”型の運用が見られる。

反スパム団体などは、公式通知システムのカスタマイズ性が高すぎると、信頼されたプラットフォーム自体がフィッシングの配信手段になり得ると警告しています。

なお、報道時点ではMicrosoftはこの問題の正確な技術的原因を公式に詳細説明していないとされています。

Microsoftメールを疑うべきサイン

送信元アドレスが正規でも、内容が安全とは限りません。特に次のようなメールには注意が必要です。

・覚えのない購入や請求の警告
・「今すぐ電話してください」と電話番号を提示するメッセージ
・急いでリンクをクリックするよう促す通知
・自分が要求していない認証コード

こうした内容は、正規のMicrosoft通知を装った詐欺の典型例です。

不審なMicrosoftメールを受け取ったら

安全のため、次の対応が推奨されます。

・メール内のリンクをクリックしない
・記載された電話番号に連絡しない
・ブラウザでMicrosoftの公式サイトを直接入力してログインする
・アカウントのサインイン履歴やセキュリティ活動を確認する
・メールをフィッシングとして報告する

もしメールの指示に従ってしまった場合は、Microsoftアカウントのパスワード変更とサインイン履歴の確認を行うことが重要です。

今回のケースは、サイバー犯罪の新しい傾向を示しています。攻撃者は偽サイトや偽ドメインだけでなく、信頼されたクラウドサービスそのものを攻撃の配信基盤として利用するようになっているのです。