AiTMフィッシング攻撃、Microsoft 365利用者を標的に

Introduction

Microsoftは、26か国の13,000超の組織にまたがる35,000人以上のユーザーを標的にした高度なフィッシングキャンペーンを確認しました。Microsoft 365およびセキュリティ管理者にとって重要なのは、この攻撃が adversary-in-the-middle（AiTM）手法を使って認証トークンを取得し、フィッシング耐性のない MFA を回避して攻撃者に即座のアカウントアクセスを与える可能性がある点です。

What’s new

2026年4月14日から16日にかけて、Microsoftは code of conduct と internal compliance を誘因にした多段階のフィッシング攻撃を観測しました。これらのメッセージは、正規の社内連絡のように見えるよう設計されており、攻撃者が管理するドメインから正規のメール配信サービスを経由した認証済みメールとして送信されていました。

このキャンペーンの主な特徴は次のとおりです。

• 従業員の不正行為やコンプライアンス違反に関する緊急性の高い件名を使った、洗練されたコンプライアンス風メール
• 受信者に案件資料の確認を促す PDF 添付ファイル
• CAPTCHA チェックや中間の「確認」ステップを含む 複数の段階的ページ
• セッショントークンを傍受する AiTM フローに組み込まれた最終的な Microsoft サインインプロンプト
• 幅広い業界への影響。特に Healthcare、Financial Services、Professional Services、Technology で顕著

Microsoftによると、被害者の大半は米国に集中していましたが、このキャンペーンは世界中の組織に影響を及ぼしました。

Why this attack is significant

基本的な認証情報のフィッシングとは異なり、AiTM 攻撃は認証セッションをリアルタイムでプロキシします。つまり、ユーザーが MFA を完了しても、攻撃者はなおトークンを取得し、それを再利用してアカウントへアクセスできる可能性があります。

このキャンペーンは、フィッシング手法がどのように進化しているかも示しています。

• 攻撃者は信頼性を高めるために 企業風の HTML テンプレート を使用
• 時間的プレッシャーと HR 風の告発 を利用して迅速な対応を促進
• CAPTCHA と段階的ページによって 自動化されたセキュリティ分析を回避
• 最終的なサインインフローは十分に正規に見え、ユーザーの不審感を低減

Impact on IT administrators

セキュリティチームは、ユーザー教育だけでは不十分であることを改めて認識すべきです。組織には、メール、ID、エンドポイント、Web保護にまたがる多層防御が必要です。

管理者は次の項目を見直す必要があります。

• Exchange Online Protection と Microsoft Defender for Office 365 の構成
• フィッシング対策ポリシーとなりすまし保護
• 管理対象ブラウザーにおける SmartScreen のサポート
• 悪意のある Web 宛先をブロックする Windows の Network protection
• 不審なサインイン活動とトークン悪用に対する検出および対応のカバレッジ

Recommended next steps

ITチームは次の対応を実施すべきです。

1. ユーザー教育を実施し、HR、コンプライアンス、規制対応を装うフィッシングの誘因を周知する
2. フィッシングシミュレーションを実施し、Microsoft Defender for Office 365 の attack simulation training を活用する
3. メールセキュリティ設定を強化し、Microsoft security portal のポリシー推奨事項を確認する
4. 可能な限り フィッシング耐性のある認証 を優先する
5. 侵害の痕跡をハントし、サインインイベントに関連する異常なセッション動作を調査する

このキャンペーンは、重要なセキュリティ上の教訓を改めて示しています。現代のフィッシングは、もはやパスワードだけの問題ではありません。トークン窃取を防ぐには、より強固な ID 保護、より優れたメールセキュリティ、そして継続的なユーザー教育が必要です。