2026/05/24 9:51

詐欺師が内部の Microsoft アカウントを悪用してスパムリンクを送信しています

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

詐欺師は数カ月にわたりセキュリティの抜け穴を悪用し、内部マイクロソフト住所

msonlineservicesteam@microsoftonline.com

から不正なメールを送信しています。これらのメッセージは 2 段階認証コードや取引通知などの正当なアラートに擬装しており、公式渊源と見なされることでユーザーを欺いています。この乱用の開始時期は、反スパム非営利団体The Spamhaus Projectが確認した通り「数ヶ月」前までさかのぼります。同団体がマイクロソフトに問題提起を行った際のことです。TechCrunch の記者ザック・ホイタカーはこの傾向を確認し、2023 年にフィntechn フィーム Betterment および Namecheap の信頼されたドメインを悪用した類似の攻撃についても報告しています。他にも企業のメールアドレスからスパムが届いているとの報告がありますが、マイクロソフトはこれらの報告を認識しており、サービス中断を起こさない一方で違反アカウントを削除し検知機構を強化するための調査を積極的に行っています。

Text to translate

(if needed):

Summary:

Scammers have been exploiting a security loophole for months to send fraudulent emails from the internal Microsoft address

msonlineservicesteam@microsoftonline.com

. These messages mimic legitimate alerts, such as two-factor authentication codes and transaction notifications, tricking users by appearing to come from official sources. The abuse dates back "several months," confirmed by anti-spam nonprofit The Spamhaus Project, which notified Microsoft of the issue. TechCrunch reporter Zack Whittaker verified this pattern, noting similar attacks where hackers abused trusted domains from fintech firm Betterment and Namecheap in 2023. Although users are also reporting spam from other companies' email addresses, Microsoft has acknowledged the reports and is actively investigating to remove violating accounts and strengthen detection mechanisms without causing service interruptions.

本文

Microsoft の通知用メールアドレスがスパム送信に悪用され続いている問題

問題の概要：内部システムを巡らす手法

詐欺犯たちは長期間、Microsoft の正規なアカウント通知を送信するために使われる内部メールアドレスからスパムメールを送信できる抜け穴を利用し続けています。

新規顧客 Pretense（偽装）: 詐欺犯は新たな Microsoft アカウントを作成し、「新規顧客」としてシステムにアクセスします。
権限の濫用: そのアカウントを通じて、Microsoft の名義でメールを発信することが可能であり、本物との誤認を招いています。
原因不明: システムが悪用される具体的な技術的な理由についてはまだ明らかになっていませんが、重大なセキュリティ脆弱性である疑いが強いです。

具体的な被害事例と証拠

先週以降、複数の異なるメールアドレスから、Microsoft 名義のスパムメールが確認されています。

送信元アドレス:
```
msonlineservicesteam@microsoftonline.com
```
- このアドレスは、通常二段階認証（2FA）のコードや重要なアカウントアラートなどを送るために使用されています。
フィッシングメールの内容:
- 不正取引通知: 公式な警告メールに酷似した件名でユーザーを誘導。
- 偽の私信送信: メール本文内に記載されたウェブサイトで「待機中の privés メッセージがある」と装い、情報の開示を狙う。

関係機関の対応と現状

非営利団体「The Spamhaus Project」およびメディアが問題提起しています。

Spamhaus の発見:
- Microsoft の通知用メールアドレスが悪用されていることを発表（火曜日の投稿）。
- この悪用は**「数カ月前」**から遡るとのこと。
- 指摘：自動化された通知システムに、あのようなレベルのカスタマイズを許可してはならない。
Microsoft の動き:
- TechCrunch の問い合わせに対し関心を認めたものの、直ちに詳細なコメントを提供しませんでした。
- その後発表された声明（第三者 PR エージェンシーの Emelia Katon氏名義）：
  
  「顧客を守るために、これらのフィッシングに関する報告書を積極的に調査し、対応を進めています。これには、検出およびブロック機能のさらなる強化と、利用規約に違反するアカウントの削除が含まれます。」

類似事例と業界全体の懸念

今回の事件は、最近数ヶ月で相次ぐ「企業システムの悪用による一般顧客への詐欺」の一環です。

Betterment（FinTech 企業）: 今年初めにハッカーが侵入し、偽装通知を送信。ユーザーから資金引き出しを誘発する詐欺を実行。
Namecheap: 2023 年、メールアカウントへのアクセスが悪用され、認証情報を盗むためのフィッシングメールが送信。
広範な影響: ソーシャルメディア上の報告などから、他の企業のメールアドレスも同様に悪用されている可能性があり、これは Microsoft 限定の問題ではないことを示唆。

アライアンスディスクロージャー（免責事項）

当記事内のリンクより購入いただくと、少額のコミッションを獲得することがあります。ただし、これは編集上の独立性に一切影響しません。

執筆者情報：Zack Whittaker（TechCrunch セキュリティ編集者）

週刊サイバーセキュリティニュースレター『This Week in Security』の執筆も担当しています。
Signal 上での暗号化メッセージ:
```
zackwhittaker.1337
```
メール連絡先（外部連携の検証用）:
```
zack.whittaker@techcrunch.com
```

同じ日のほかのニュース

一覧に戻る →

2026/05/25 3:56

オーストラリアの週 4 日制研究データで生産性が向上したと示唆されました

## 日本語訳： *Nature* の『Humanities and Social Sciences Communications』に発表された新研究によると、4 日勤務週間の試行を継続しているオーストラリア企業のうち 15 社のうち 14 社が「100:80:100 モデル」（完全な給与、80% の労働時間、全出力）を採用していたことが示されています。デイキン大学のジョン・ホプキンス教授を筆頭に、2023 年初頭から 2024 年秋にかけて行われたインタビューでは、不動産管理、出版、ヘルスケア技術、法律、ソフトウェア開発など幅広い業界を対象としました。どの企業でも生産性は低下しておらず、6 つの企業で向上し、9 つの企業が出力を維持していました。1 社は大きな内部変化により試行から退出し、もう 1 つはすでに 8 年間のパイロットプログラムを実施済みでした。バーンアウトが主な要因となったのは 6 社で、これらは単なる収益だけでなく、離職率、欠勤日、病休日、メンタルヘルス休暇をモニタリングしました。これは、2025 年の『Beyond Blue』調査でも示されているように、オーストラリアの労働者の半数がバーンアウトを経験しており、特に若年層と親御さんにおいて顕著であることと整合しています。国際的には、200 社以上の英国企業と 45 社のドイツ企業（主に中小企業）が給与カットなしでこのモデルを採用しています。導入方法は業界のリズムや業種によって異なります：顧客接点を持つ組織は休暇日を分散させる傾向があり一方、医療、緊急サービス、物流、ホスピタリティなどの分野は構造的なスケジュール調整の課題に直面します。企業は不要な会議を削減し、タスクを自動化し、低価値な仕事を排除することでワークフローを合理化しています。批判者は、一部の短期的な利益が新奇効果によるものかもしれないと注意喚起しています。今後を見据え、AI は反復的なタスクを自動化して労働者が時間を取り戻すよう助け、単に日常の業務量を増やすのではなく、将来の成功はウェルビーイングと離職防止を追跡することによって実現されると考えられています。全体としての変化は、効率性と並んで人間のウェルビーイングを最優先とする持続可能なパターンの方向へと向かっています。

2026/05/21 9:15

LAN-LOK：南极向け DOS サボタージュゲーム「34 年間も消失した」作

## Japanese Translation: AlphaPixel は、Mark Chappell および Shane Maloney という研究者により Palmer Station で作成された稀な 1991 年の南极観測ステーション用コンピューターゲーム「LAN-LOK」を成功裏に蘇らせた。本プロジェクトは、同ステーションで初めてのピアツーピア LAN（PalmerLAN/GrapeVine）の設置後に開発が行われた「Evil Al サボタージレース」というタイトルであり、30 年以上も知られていなかったところ、創業者である Chris Hanson が 2025 年に未開封のコピーを発見した。Hanson はその後にゲームの対抗役（悪の AI「Evil Al」）の実在のモデルとなった人物である Al Oxton（「ajo」氏）と連絡を取り、メールを通じて作成の詳細を確認させた。このプロジェクトは、この廃棄された 16 ビットプログラムを現代的な遊べば良い体験へと変え、現在 Archive.org でアクセスでき、AlphaPixel 経由でダウンロード可能となっている。 gameplay は、プレイヤーがディレクトリを削除したりディスクをフォーマットしたりするなどのサボタージュ行為を行い、AI が制御する「Evil Al」と対戦しながら、特定のターゲット（例：重要な"Hobbs"ノード）への攻撃と勝利に必要なスコア要件を満たすことを目指す 5 分のレースである。長期的な存続性を確保するため、AlphaPixel は Ghidra や Reko といったリバースエンジニアリングツールを用いてレガシーコードのデコンパイルを行い、16 ビットシステムと 64 ビットシステム間の互換性問題を解決するとともに、SDL フレームワークを使用してグラフィックおよび入力処理を更新している。また AI ツールの活用も行う可能性がある。この取り組みは単に南极からユニークなデジタルアーティファクトを救い出しただけでなく、AlphaPixel の広範なレガシーデータの復元に関する専門性を示しており、8 ビットデバイスから現代の RISC-V プロセッサに至るまでのさまざまなアーキテクチャにおいて、エミュレーションされたゲームからフォレンジック動画の回復まで幅広く対応できることを証明している。

2026/05/25 3:39

Jujutsu で Git Rigour Fatigue を克服する

## Japanese Translation: 著者は、コードレビューを「種類別（例：赤で変更内容、青で UI）」に分類し、履歴を確定させる前に視覚的なワークフローを採用するためのステブのジュジュツチュートリアルへの相談を推奨しています。このアプローチは、デバッグによる修正とリファクタリングを単一のブランチ内で混在させるという一般的な誤り（コミットが以前の作業を上書きすることで頻発するコンフリクト）を回避します。標準ツールである `jj absorb`（ファイルの所有者との相性が悪いため課題が多い）や厳格なシーケンシング手法とは異なり、この手法では中間ステップごとにコンパイルしなくてもよい、当初はごちゃまぜの「全コミット」を受け入れることで一時的なデバッグ状態を許容します。ターゲット対象となるクイッシュコマンドを最終段階に留め、特定の変更カテゴリを色分けされた独自のコミットに分離することにより、Git のシーケンシングや複雑な分割の堅牢性を伴わずとも清潔で視覚的な履歴を実現できます。この戦略は、開発中の各個々のコミットがコンパイル可能であるという保証を犠牲にしますが、厳格なステップバイステップのコンパイル要件よりも、明確な視覚的なソートと管理可能なレビュー単位を重視するチームにとって、軽量で柔軟な代替手段を提供します。