Microsoftの正規通知用メールアドレス「msonlineservicesteam@microsoftonline.com」が詐欺師に悪用され、偽の公式メールとして大量のスパムが送信されていることが明らかになった。スパム対策の非営利団体Spamhausの報告によれば、この問題は少なくとも数ヶ月前から継続している。

何が起きているのか

今回悪用されているメールアドレス「msonlineservicesteam@microsoftonline.com」は、本来Microsoftが二段階認証コードや重要なアカウント通知を送信するために使用している公式の送信元アドレスだ。このアドレスから届くメールは多くのユーザーが信頼しているため、フィッシング攻撃の格好の踏み台になる。

TechCrunchの記者が受信した詐欺メールは、件名が「不正取引の警告」を装ったものや、「プライベートメッセージが届いています」として怪しいURLへの誘導を試みるものだった。メール自体の作りは粗雑だが、送信元アドレスが本物であるため、メールクライアントやセキュリティフィルターを通過してしまう。

現時点では、どのような手口で詐欺師がこの送信経路を利用できているかは不明だ。ただし、Spamhausは「自動通知システムがこれほどの自由度でカスタマイズを許可するべきではない」と指摘しており、Microsoftの通知基盤における設計上の問題を示唆している。

Microsoftの対応状況

TechCrunchが問い合わせた時点では、Microsoftは問い合わせを確認するにとどまり即座のコメントを控えた。記事公開後に提供された声明では、「フィッシング報告に対し積極的に調査・対処を進めており、検知・ブロック機能をさらに強化するとともに、利用規約に違反するアカウントを削除している」とコメントしている。

SpamhausはすでにMicrosoftに問題を通知済みとのことだが、数ヶ月間にわたって問題が継続している事実は、対処の速度に疑問を投げかける。

類似事例との比較

正規のメール送信基盤が悪用されるインシデントは今回が初めてではない。2023年にはドメイン登録サービスのNamecheapが同様の手口で悪用され、フィッシングメールの送信に使われた。2026年初頭には、フィンテック企業Bettermentが利用するプラットフォームが侵害され、暗号資産詐欺のメールが送信される被害も発生している。

ソーシャルメディア上では、Microsoft以外にも複数の企業の正規アドレスが同様に悪用されているとの報告があり、業界全体の課題として認識されつつある。

実務への影響——エンジニア・管理者が取るべき行動

この問題が日本のIT現場に示す教訓は明確だ。

送信元アドレスだけで真偽を判断しない: メールのFromアドレスが正規のものであっても、フィッシングである可能性は排除できない。ユーザー教育においては「送信元アドレスが本物でも疑う」という意識付けが今まで以上に重要になった。

URLをクリックする前に公式サイトへ直接アクセス: 不正取引の警告や重要な通知を受け取った場合、メール内のリンクをクリックせず、ブラウザで直接Microsoftアカウントの管理画面を開くことを徹底する。

メールセキュリティのDMARC/DMARKIレポートを活用: Microsoft 365の管理者は、DKIMおよびDMARCレポートを定期的に確認することで、自社ドメインが同様の悪用を受けていないか監視できる。

エンドユーザー向けフィッシング訓練の見直し: 「正規アドレスからでも詐欺メールが来る」という事例を訓練に組み込むことで、既存の教育コンテンツのアップデートが必要だ。

筆者の見解

技術的な観点から見ると、今回の問題は「自動通知システムに過度な柔軟性を持たせてしまった」設計課題が根本にある。Spamhausが指摘するとおり、本来ユーザーへの重要通知のみを送るべきシステムが、外部からの入力をそのまま流せる構造になっていたとすれば、それは通知基盤の設計段階で防ぐべきリスクだ。

Microsoftほどの規模と技術力を持つ企業であれば、こうした問題を数ヶ月間放置しない体制が作れるはず——そう思うからこそ、「もったいない」という感想が正直なところだ。同社はセキュリティへの投資を大幅に増やし、Secure Future Initiative(SFI)を掲げて取り組んでいる。それだけに、こういった通知基盤の設計上の脆弱性は、早期に塞いでほしい。

ゼロトラストの観点では、今回のインシデントは「送信元の信頼性だけに依存するアーキテクチャの限界」を改めて示している。送信元IPやドメインが正規であっても、コンテンツや行動パターンを多層的に検証する仕組みが必要だ。Microsoftが声明で言及した「検知・ブロック機能の強化」が具体的にどのような実装になるのか、今後の続報に注目したい。

利用者側としては、どれほど信頼できる送信元からのメールであっても、リンクを安易にクリックしない習慣を持つことが、今の時代における基本的な自衛策だ。

出典: この記事は Scammers are abusing an internal Microsoft account to send spam links の内容をもとに、筆者の見解を加えて独自に執筆したものです。