数ヶ月にわたり、詐欺師たちはマイクロソフトの内部メールアドレスを悪用してスパムメールを送信する抜け穴を利用している。そのアドレスは、マイクロソフトが正当なアカウント通知に使用しているものと同じだ。どうやら誰もそのドアに鍵をかけようとは思わなかったらしい。
詐欺師がどのようにシステムを悪用しているのかはまだ明らかになっていないが、彼らは新規顧客を装ってマイクロソフトのアカウントを設定し、そのアクセス権を使って、まるでテクノロジー大手自身から送信されたかのようなメールを送信することに成功している。「私たちを信頼してください」という言葉ほど、実際の企業からの偽メールほど説得力のあるものはない。
マイクロソフトはまだこの状況を掌握できていないようだ。先週、TechCrunchは同様の構造を持つスパム件名とリンクを含むメールを複数受け取った。これらはすべて、マイクロソフトが二要素認証コードやその他の重要な通知に使用しているアドレス、msonlineservicesteam@microsoftonline.comから送信されていた。件名には公式の詐欺警告を模したものもあれば、怪しいリンクに受信者を誘導するものもあった。
火曜日、スパム対策非営利団体The Spamhaus Projectは、この悪用が「数ヶ月前」から続いていると発表した。「自動通知システムは、このレベルのカスタマイズを許すべきではない」とSpamhausは辛口にコメントし、マイクロソフトに問題を通知した。
TechCrunchは今週初めにマイクロソフトに連絡を取った。広報担当者は問い合わせを認めたが、まだコメントしておらず、悪用が止まったかどうかも確認していない。これは、ハッカーや詐欺師が企業システムを悪用して顧客を騙す一連の事件の最新例である。今年初め、ハッカーはフィンテック企業Bettermentが使用するプラットフォームに侵入し、暗号通貨ユーザーの資金を3倍にすると約束する詐欺的な通知を送信した。これは古典的な詐欺だ。また2023年には、ハッカーがNamecheapが運営するメールアカウントを同様に悪用してフィッシングメールを送信した。
他のソーシャルメディアユーザーは、他の企業のメールアドレスもスパムに使用されていると報告しており、マイクロソフトだけがその愉快なセキュリティの欠如に悩まされているわけではないことを示唆している。