重要ポイント
Microsoft 365のDirect Send機能は初期状態(デフォルト)で有効になっており、すべての企業にとって攻撃リスクが存在する状態です。特別な設定をしない限り、誰でもこの機能を利用した攻撃の対象になります。

Direct Sendとは?

Direct Sendは、Microsoft 365のSMTP機能の一つで、外部の認証を伴わずにExchange Online経由でメールを送信できる仕組みです。

主な用途:

  • 複合機からのスキャン通知メール
  • アプリケーションからのアラート通知
  • 社内メール送信
    例:SMTPサーバー = company-com.mail.protection.outlook.com

この機能は便利ですが、認証を行わないため、悪用されるリスクがあります。

Direct Sendを悪用したフィッシングの手口

攻撃者は次のような手法でDirect Sendを悪用します:

  1. M365テナントを悪用 or 新規取得
  2. Direct Sendを使って、「送信者名やドメインをなりすまし」たメールを送信
  3. Exchange Onlineから送られてくるため、多くのセキュリティ製品を通過

例:なりすましメールの内容

件名:至急ご確認ください:社内資料の更新
本文:以下のリンクからログインし、資料を確認してください。
リンク:https://malicious.example-login.com

最近の動向

  • 2024年以降、日本国内でもDirect Sendを悪用した事例が多数報告
  • 中小企業のM365環境を踏み台にして、取引先を狙う攻撃が顕在化
  • SPF/DKIM/DMARC未設定のドメインが悪用されやすい

対策方法

1. Direct Sendの制限・無効化

  • コネクタ設定でIP制限をかける
  • SMTP認証方式に変更し、送信者認証を必須に
  • 使っていない場合は完全に無効化するのがベスト
  • 無効化には拒否機能を有効化(事業への影響を要確認!
    Set-OrganizationConfig -RejectDirectSend $true

2. メール認証(SPF・DKIM・DMARC)の強化

  1. SPF:送信元IPを許可する設定を行い、信頼できるIPのみがメール送信できるように制限する。Direct Sendの場合はMicrosoftのIP範囲を許可する。

  2. DKIM:電子署名を付与することで、メール改ざんを検知できるようにする。外部攻撃による改ざんを見つけるのに有効。

  3. DMARC:ポリシー制御を行い、メール受信側が不正なメールを処理できるようにする。段階的に「none」→「quarantine」→「reject」と強化するのが推奨。

     

3. Microsoft Defender for Office 365の活用

  • Safe Links/Safe AttachmentsによるURL・添付ファイルの検査
  • なりすまし検出ポリシーの設定
  • 攻撃キャンペーンのインジケータ検出機能

対策時の影響と注意点

まずはnoneでモニタリングし、ログから実態を把握したうえで段階的適用が推奨

  1. Direct Sendの無効化:複合機や業務アプリからのメール送信ができなくなる場合があるため、事前に影響範囲を確認すること。

  2. SPF強化:誤設定すると正規メールが配信できなくなる可能性があるので慎重に設定する。

  3. DMARC「reject」適用:誤判定によりメールが届かないリスクがあるため、まずはnoneでモニタリングし、ログから実態を把握したうえで段階的適用が推奨

     

すぐに「完全遮断」するのではなく、まずはnoneでモニタリングし、ログから実態を把握したうえで段階的な適用が推奨されます。

まとめ

Direct Sendは、設定不要で動作する便利な一方で非常に危険な機能でもあります。
放置すると、自社がフィッシングの踏み台にされるリスクがあり、顧客・取引先の信頼を損なう結果にもなりかねません。

今すぐ確認を!

  • 自社でDirect Sendを利用しているか
  • コネクタ設定にIP制限はあるか
  • SPF/DKIM/DMARCは適切に設定されているか

セキュリティは「使わない機能を止める」「可視化して監視する」ことが基本です。今すぐ見直して、安全なメール運用を心がけましょう。

参考リンク