【注意】正規SaaS悪用で認証を突破！「認証ロンダリング」による新手のフィッシング攻撃に警戒せよ

SaaS悪用による認証ロンダリングのニュース概要

欧州やアジアのホテルを標的としたフィッシング攻撃が急増しており、マイクロソフトはこれを認証ロンダリングと命名しました。
攻撃者は日程調整ツールのカレンダリーなどの正規SaaSを利用し、悪意あるメッセージを配信します。
メール認証規格のSPFやDKIM、DMARCを正規のインフラ経由で送信することで完全に突破し、企業のメールフィルターをすり抜けて受信箱へ到達させます。
標的となるホテルスタッフに対し、宿泊客からの苦情などを装ったメールを送り、最終的に画像に見せかけた不正なショートカットファイルを含むZIPファイルをダウンロードさせます。
実行されたマルウェアは正規のノードジェイエス環境を悪用して活動するため検知が極めて困難です。
この手法は他のプロジェクト管理ツールなどにも波及する恐れがあり、企業はSaaSの通知機能を悪用した攻撃に対して厳重な警戒が必要です。

フィッシング攻撃と認証ロンダリングの注目ポイント

1. 正規のSaaS（カレンダリー等）を悪用し、メール認証を完璧にすり抜ける「認証ロンダリング」を用いたフィッシング攻撃が、欧州やアジアのホテルを標的に急増中です。
2. 攻撃者は正規の通知インフラを使い、悪意あるZIPファイルを配布します。受信者は写真と誤認し、実行することでNode.jsを経由したステルス性の高い感染に至ります。
3. 企業はメールフィルター頼みの防御の限界を認識し、業務フローと矛盾するファイル開封を禁じる教育や、不審なプロセス実行の監視による早期検知を強化すべきです。

SaaS悪用が変えるセキュリティ脅威の分析・解説

この攻撃がもたらす最大のパラダイムシフトは、信頼の源泉が「送信元」から「文脈」へと強制的に移行する点です。
これまでメール認証規格はセキュリティの最後の砦でしたが、本件は正規SaaSのインフラを悪用する「プラットフォーム・アズ・ア・プロキシ」が、その防御策を根本から無効化できることを証明しました。
今後は、認証技術に頼った境界防御は崩壊し、エンドポイントでの異常検知や、業務フロー外の挙動をブロックするゼロトラストな実行制御が不可欠となります。
さらに、AIを活用した「業務文脈の判定」をメールフィルターに統合する動きが加速するでしょう。
今後はSaaSを悪用した通知の偽装が常態化し、あらゆる業務ツールが攻撃経路として悪用される未来が訪れるはずです。

まとめ

正規SaaSを悪用してメール認証をすり抜ける「認証ロンダリング」の急増は、既存のセキュリティ対策の限界を露呈させました。今後は「送信元が正規であること」だけでは安心できず、業務文脈を疑う姿勢が不可欠です。メールフィルターに頼り切るのではなく、エンドポイントでの異常検知や従業員の教育など、多層的な防衛を今すぐ見直す必要があります。便利さが攻撃の武器になる時代、私たちはこれまで以上に慎重な判断を求められています。

関連トピックの詳細はこちら