自動転送ルールを悪用したメール窃取、気づかれにくい長期スパイ行為に警戒を

背景

Microsoft 365やGoogle Workspaceなどのクラウドメールでは、「受信メールを別アドレスへ自動転送する」ルール機能が広く利用されています。業務効率化に便利な一方で、この機能が攻撃者に悪用されるケースが増加しています。アカウント乗っ取りに成功した攻撃者が、目立つ挙動をせずに自動転送ルールだけを仕込み、以後すべてのメール（あるいは特定条件のメール）を外部アドレスへコピーさせることで、被害者に気付かれないまま長期間にわたり情報を収集し続けることが可能になります。ランサムウェアのような即時被害ではないため発見が遅れがちで、気づいたときには機密情報が大量に流出している危険な手口として、セキュリティ専門家の間で警戒が高まっています。

実態

攻撃者はフィッシングやパスワードリスト攻撃でクラウドメールアカウントの認証情報を入手すると、まずはログイン履歴を消去したり多要素認証の迂回手段を確保したりしたうえで、自動転送ルールを設定します。転送先には、攻撃者が用意したフリーメールアドレスや、既に侵害済みの別のアカウントが指定されます。転送対象は「すべてのメール」の場合もあれば、「請求」「決算」「見積」「契約」「パスワードリセット」などのキーワードを含む重要メールに限定されることもあります。ユーザーの受信トレイには通常通りメールが届くため、転送されていることに気づくことはほとんどありません。この手法により、数ヶ月から数年単位で情報窃取が続く事例も報告されています。収集された情報は、後続のビジネスメール詐欺（BEC）の精度向上、インサイダー取引のための未公開情報収集、ランサムウェア攻撃の標的選定、取引先への二次攻撃などに利用されます。特に財務部門や経営陣のメールが標的とされることが多く、機密度の高い情報ほど攻撃者にとって価値が高いため、重点的に監視されます。

影響と対策

自動転送ルールを悪用された場合、顧客情報、取引条件、認証情報、内部資料、経営判断に関わる情報などが継続的に外部流出し、被害の全容把握が極めて困難になります。対策としては、まずテナント管理者レベルで「外部ドメインへの自動転送」を原則禁止とし、業務上必要なケースは申請・承認制にすることが有効です。Microsoft 365やGoogle Workspaceには、管理者が組織全体の転送設定を監査・制御する機能が備わっています。また、FortiGateやCheck Pointのメールセキュリティ機能やCASB機能を利用し、「外部への大量転送」や「未知ドメインへの継続的な転送」を異常パターンとして検知・アラートする仕組みを構築できます。さらに、アカウント乗っ取り対策として多要素認証の徹底、条件付きアクセス（Conditional Access）による異常ログインの検知、定期的な転送ルール・委任設定の棚卸しを運用プロセスに組み込むことが重要です。ユーザー教育として、「自分のアカウントの転送設定は定期的に確認する」「身に覚えのないルールがないかチェックする」習慣付けも効果的です。

まとめ

メール自動転送は「静かに情報を流し続ける」ための格好の仕組みです。派手な挙動がないからこそ、発見は困難で被害は甚大になります。技術的な制御と運用ルール、ユーザー教育を組み合わせて、自動転送ルールの悪用を前提とした監視体制を整備することが求められます。PSIでは、クラウドメール環境のセキュリティ設定レビューと、メールセキュリティ製品・CASBを活用した自動転送監視体制の構築をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp