Ars Technicaは1月27日(米国時間)、「There's a rash of scam spam coming from a real Microsoft address - Ars Technica」において、Microsoftの公式メールアドレスから詐欺メールが配信されたと報じた。

攻撃者はMicrosoftの情報分析プラットフォーム「Power BI」に関連付けられたメールアドレス「no-reply-powerbi@microsoft.com」から詐欺メールを送信したという。

  • There's a rash of scam spam coming from a real Microsoft address - Ars Technica

    There's a rash of scam spam coming from a real Microsoft address - Ars Technica

公式メールアドレスを悪用する攻撃に注意

Ars Technicaによると1月27日、とあるユーザーが前述のメールアドレスを送信元とする詐欺メールを受信。身に覚えのない商品購入代金の399ドルを請求する内容で、異議申し立て先の電話番号が記載されていたという。

  • 詐欺メールの例 - 引用:Ars Technica

    詐欺メールの例 - 引用:Ars Technica

被害者がこの電話番号に連絡すると、詐欺師はキャンセルに必要としてリモートアクセスアプリケーションのインストールを要求。アプリはMacおよびWindows用で、Linuxは許可されなかったとしている。これら一連の行動から、詐欺師の目的はマルウェアのインストールにあったと推測されている。

Proofpointの研究者Sarah Sabotka氏によると、この攻撃はPower BIの機能を悪用することで実行可能だという。攻撃者はPower BIレポートの購読登録時に送信される通知メッセージに偽の請求文と電話番号を記載し、標的のメールアドレスを登録することで攻撃を実現したとみられる。Ars Technicaが公開した詐欺メールをよく読むと、メールの末尾部分にスコアカードの購読登録を通知する一文があることを確認できる。

今回はタイトルのスペルミス「Billng(iが足りない)」などがあり、英語を母国語とするユーザーは詐欺を見抜くことができたと推測される。しかしながら、これらミスがない場合や、Microsoftのサポート担当者になりすましてソーシャルエンジニアリング攻撃を実行した場合、大きな影響が出た可能性がある。

Microsoftの担当者はこの事案を受け、長期的な解決策を講じるまでの間、スコアカードのメール購読機能を一時的に無効にしたと発表した。なお、同担当者は本機能の利用にメールアドレス所有者のオプトインを必要としないと説明しており、これまでは制限なく悪用可能な状態が続いていたとみられる。