2026年第1四半期のメール脅威動向: Microsoftの重要知見

はじめに

Microsoftの2026年第1四半期のメール脅威分析は、フィッシングの手口がいかに速く変化しているかを示しています。IT管理者とセキュリティ管理者にとって、このレポートは、攻撃者がどこに注力しているのか、そしてMicrosoft 365やDefender環境全体でどの防御策を優先すべきかを把握するうえで有用です。

2026年第1四半期の新たな動向

Microsoft Threat Intelligenceは、2026年1月から3月の間に、約83億件のメールベースのフィッシング脅威を検知しました。月間全体の件数はやや減少したものの、複数の攻撃手法はより高度化し、効果も高まっています。

主なトレンド

• QRコードフィッシングが急増し、1月の760万件から3月には1,870万件となり、146%増となりました。
• リンク型フィッシングが大半を占め、四半期中の**メール脅威の78%**を占めました。
• 悪意あるペイロードは、1月には攻撃の19%を占めていましたが、2月と3月には13%へ低下しており、攻撃者がファイル配信型よりもホスト型フィッシングページをより好むようになっていることが示唆されます。
• Business email compromise (BEC) は引き続き大きな問題であり、第1四半期には1,070万件の攻撃が観測されました。
• CAPTCHAを挟んだフィッシングも進化を続けており、攻撃者は偽の認証ステップを使って自動分析を遅らせ、ユーザーの信頼を高めています。

Tycoon2FA妨害の影響

Microsoftはまた、2026年3月に実施したTycoon2FA phishing-as-a-service platformに対する妨害の効果についても強調しました。Europolおよびパートナーとの連携対応を受け、Tycoon2FAに関連するメール量は3月後半に15%減少し、アクティブなフィッシングページへのアクセスも大幅に抑えられました。

このプラットフォームは、ホスティング事業者やドメイン登録パターンを変更することで適応を試みましたが、Microsoftによると、その回復は以前の能力に完全に戻ったというより、部分的なものにとどまっているようです。

管理者にとって重要な理由

これらのトレンドは、配信手法が変化していても、フィッシングの中心が依然として認証情報の窃取にあることを裏付けています。特にQRコードフィッシングは、ユーザーを未管理のモバイルデバイスへ誘導し、従来のデスクトップ中心の保護を一部回避できるため、特に懸念されます。

Microsoft 365およびDefenderの管理者にとって、このレポートは、妨害オペレーションが重要である一方で、それだけで脅威を排除できるわけではないことを改めて示しています。攻撃者はしぶとく、テイクダウン後も素早くインフラを切り替えることが少なくありません。

推奨される次の対応

• メール、添付ファイル、埋め込み画像におけるQRコードフィッシングへの保護を見直す。
• 可能な場合は、phishing-resistant MFAを導入し、AiTM phishingに対する防御を強化する。
• BECのパターン、特に手間の少ないなりすましや汎用的な接触メッセージを監視する。
• Microsoft Defenderの検知機能とハンティングツールを活用し、リンク型フィッシングや不審なペイロード活動を調査する。
• QRコード、CAPTCHA画面、予期しない認証プロンプトに注意するようユーザー教育を行う。

まとめ

Microsoftの2026年第1四半期データは、攻撃者がQRコード、CAPTCHA回避、device code phishingのような新しい手法を試しつつ、スケーラブルなリンク主導の認証情報フィッシングへと引き続き軸足を移していることを示しています。セキュリティチームは、これらの知見を、検知の強化、ID保護の強化、そしてユーザー向け啓発プログラムの更新を進めるきっかけとして捉えるべきです。