Microsoftは、26カ国13,000以上の組織に属する35,000人以上のユーザーを標的とした大規模な認証情報窃取キャンペーンの詳細を公開しました。この攻撃は、行動規範を装った巧妙なフィッシングメールと、多要素認証(MFA)を回避する「AiTM(Adversary-in-the-Middle)」技術を組み合わせたもので、企業や個人の認証情報がリアルタイムで盗まれる深刻な脅威となっています。さらに、2026年第1四半期にはQRコードを利用したフィッシング詐欺が急増しており、従来のセキュリティ対策だけでは不十分な状況が浮き彫りになっています。
Microsoftが警告する大規模フィッシングキャンペーンの全貌
巧妙な手口:行動規範を装ったメールとPDF添付ファイル
2026年4月14日から16日にかけて観測されたこのキャンペーンは、特に米国に標的の92%が集中し、医療・ライフサイエンス、金融サービス、専門サービス、テクノロジー・ソフトウェアといった業界が狙われました。攻撃者は「Internal Regulatory COC」「Workforce Communications」「Team Conduct Report」といった正規の組織を装った表示名を使用し、「Internal case log issued under conduct policy」「Reminder: employer opened a non-compliance case log」などの件名でメールを送信しました。
これらのメールは、洗練された企業スタイルのHTMLテンプレートを使用し、構造化されたレイアウトと「正規の内部チャネルを通じて発行され、リンクと添付ファイルは安全なアクセスが承認されている」といった事前認証の文言を盛り込むことで、非常に巧妙で信頼性が高く見えるように設計されています。これにより、一般的なフィッシングメールよりもはるかに信憑性が高く、正規の内部連絡であるかのような錯覚をユーザーに与えました。また、メッセージには「告発」や「期限付きの行動要請」が含まれており、ユーザーに緊急性と行動への圧力を生じさせることで、冷静な判断を妨げる狙いがあったと分析されています。
さらに、攻撃者は正規のメール配信サービスを利用することで、スパムフィルターをすり抜けやすくしていました。メールにはPDFファイルが添付されており、行動規範レビューに関する詳細情報が記載されていると偽り、被害者を認証情報窃取サイトへのリンクが仕込まれたドキュメントへと誘導します。
MFAを回避するAiTM(Adversary-in-the-Middle)フィッシングの脅威
被害者がPDF内のリンクをクリックすると、複数のCAPTCHA認証や中間ページを経由させられます。これは、自動防御システムを回避しつつ、同時にユーザーに正規のプロセスであるかのような錯覚を与えるための手口です。最終的に表示されるのは、AiTMフィッシング戦術を利用したサインインページです。
AiTM攻撃では、攻撃者がユーザーと正規のウェブサイトの間に「中間者」として入り込み、すべての通信を傍受します。ユーザーが偽のログインページに認証情報を入力すると、攻撃者のプロキシがそれを正規のサービスにリアルタイムで転送し、正規のサービスからの応答(MFAチャレンジやセッショントークンなど)をユーザーに転送します。この過程で、攻撃者はユーザーが入力したMicrosoftの認証情報だけでなく、多要素認証(MFA)によって生成された認証トークンもリアルタイムで窃取してしまいます。
この手口は、従来のMFAが持つ「認証情報の窃取だけではログインできない」という防御を突破するため、非常に危険です。攻撃者は窃取したトークンを使って、MFAをバイパスして正規のサービスにログインできるようになります。最終的な誘導先は、モバイルデバイスかデスクトップシステムかによって異なる場合があると報じられています。
2026年第1四半期のフィッシングトレンド:QRコード悪用が急増
急増するQRコードフィッシングの脅威
Microsoftの分析によると、2026年1月から3月にかけて、QRコードを利用したフィッシング攻撃が最も急速に増加した攻撃ベクトルとなりました。攻撃件数は1月の760万件から3月には1870万件へと、わずか3ヶ月で146%も急増しています。これは、スマートフォンの普及とQRコード利用の増加という社会的な変化に乗じたものです。
攻撃者はQRコードをURL短縮ツールのように悪用し、悪意のあるリンクを隠蔽します。ユーザーがスマートフォンなどでQRコードをスキャンすると、偽のサインインページやマルウェアダウンロードサイトに誘導される可能性があります。特に注目すべきは、メール本文に直接QRコードが埋め込まれる手口が3月下旬に観測されたことです。これにより、メールのテキストベースのセキュリティスキャンを回避しやすくなり、ユーザーは疑うことなくスキャンしてしまうリスクが高まります。
BEC(ビジネスメール詐欺)の動向とAmazon SESの悪用
ビジネスメール詐欺(BEC)も依然として活発であり、2026年第1四半期には合計1070万件の攻撃が記録されました。3月には攻撃量が400万件を超え、増加傾向にあります。BEC攻撃は、企業幹部や取引先になりすまし、偽の請求書や送金指示によって金銭を詐取する手口です。
特筆すべきは、攻撃者がAmazon Simple Email Service(SES)を悪用してフィッシングメールを配信している点です。Amazon SESは正規のメール配信サービスであるため、SPF、DKIM、DMARCといったメール認証チェックを容易に通過してしまいます。これにより、受信者はメールが正規の送信元から送られたものだと誤認しやすくなり、セキュリティシステムも悪意のあるメールとして検出するのが困難になります。カスペルスキーは、攻撃者が漏洩したAWSアクセスキーなどを利用してAmazon SESに不正アクセスし、大量のフィッシングメールを送信していると指摘しており、正規のインフラを悪用することで、攻撃の検出をさらに困難にしています。
PhaaS(Phishing-as-a-Service)プラットフォームの進化
フィッシング攻撃の背後には、Tycoon 2FAのような「Phishing-as-a-Service(PhaaS)」プラットフォームの存在があります。これらのサービスは、サイバー犯罪者が高度なフィッシングキットを容易に入手・利用できるようにすることで、攻撃の敷居を大幅に下げています。PhaaSは、フィッシングページのテンプレート、認証情報収集のためのバックエンドインフラ、MFAバイパス機能、さらには攻撃の分析ツールなどをサブスクリプション型で提供し、技術的な知識が限られた個人でも大規模なフィッシングキャンペーンを展開できるようにしています。
Microsoftの報告によると、Tycoon 2FAの運営者は、2026年3月の協調的な妨害作戦を受けて、ホスティングプロバイダーやドメイン登録パターンを変更しようとしています。これは、検出を回避し、対分析保護を強化するための動きと見られています。今回のキャンペーンでは、Tycoon 2FAの他にも、Kratos(旧Sneaky 2FA)やEvilTokensといった複数のPhaaSプロバイダーのインフラが利用されていたことが判明しており、フィッシング攻撃のサプライチェーンが多様化し、より広範囲に展開されている現状を示しています。
ユーザーと組織が取るべき具体的なセキュリティ対策
多層的な防御戦略の確立
フィッシング詐欺の巧妙化と多様化に対抗するためには、単一の対策に依存するのではなく、多層的な防御戦略を確立することが不可欠です。
- 多要素認証(MFA)の導入と強化: AiTM攻撃はMFAを回避しますが、それでもMFAは多くのフィッシング攻撃に対して非常に有効な防御策です。特に、フィッシング耐性のあるFIDO2セキュリティキーのようなMFAソリューションの導入を検討すべきです。SMSやプッシュ通知ベースのMFAも有効ですが、AiTM攻撃のリスクを考慮し、より強固な認証方式への移行が望ましいでしょう。
- メールの厳重な確認: 送信元アドレス、件名、本文の内容に不審な点がないか、常に慎重に確認する習慣をつけましょう。特に、緊急性を煽るようなメッセージや、個人情報・認証情報の入力を求めるメールには最大限の警戒が必要です。URLはクリックする前にマウスオーバーで確認し、正規のドメインであることを確認することが重要です。
- 不審なリンクや添付ファイルは開かない: 信頼できないメール内のリンクはクリックせず、添付ファイルも安易に開かないようにしましょう。不明なファイルはサンドボックス環境で開くなど、リスクを最小限に抑える工夫も有効です。
- セキュリティ意識向上トレーニングの実施: 従業員に対する定期的なフィッシング詐欺対策トレーニングは不可欠です。最新の攻撃手口や見分け方を周知し、不審なメールを報告する文化を醸成することが重要です。シミュレーション訓練を通じて、従業員が実際にフィッシングメールを識別し、適切に対応する能力を高めることも有効です。
- 最新のセキュリティソリューションの導入: Microsoft Defender for Office 365のような高度な脅威保護ソリューションは、フィッシングメールの検出とブロックに役立ちます。また、エンドポイント検出応答(EDR)や拡張検出応答(XDR)ソリューションも、攻撃の早期発見と対応に貢献します。これらのツールは、異常な挙動を検知し、攻撃が拡大する前に封じ込める役割を果たします。
- 認証情報の厳重な管理: AWSアクセスキーのようなクラウドサービスの認証情報は、厳重に管理し、定期的にローテーションすることが推奨されます。最小権限の原則を適用し、不要なアクセス権限は付与しないようにしましょう。特権アカウントの管理には、特権アクセス管理(PAM)ソリューションの導入も検討すべきです。
- QRコードの安易なスキャンを避ける: 信頼できる情報源からのQRコード以外は、安易にスキャンしないようにしましょう。特に、物理的な場所に貼られたQRコードや、不審なメール内のQRコードには注意が必要です。スキャンする前に、QRコードが誘導するURLをプレビューできるアプリを利用するのも一つの方法です。
フィッシング詐欺の歴史と進化
フィッシング詐欺は、1990年代半ばにAOLユーザーを標的とした単純な攻撃から始まりました。当初は「フィッシング」という言葉自体が「パスワードを釣る(fishing for passwords)」ことに由来すると言われるように、主に認証情報を盗むことを目的としていました。インターネットの普及とともに、その手口は急速に進化を遂げ、現在ではAI技術や正規サービスを悪用する高度な手法が主流となっています。
初期のフィッシングは、主に銀行やクレジットカード会社を装い、偽のウェブサイトに誘導して認証情報を盗むものでした。その後、マルウェアの配布、ランサムウェア攻撃への足がかり、そして近年では多要素認証(MFA)を回避するAiTM攻撃や、ビジネスメール詐欺(BEC)のように金銭を直接詐取する手口へと多様化しています。攻撃者は常に新しい技術や社会情勢を利用し、その手口を巧妙化させています。例えば、新型コロナウイルス感染症のパンデミック時には、関連情報を装ったフィッシングメールが急増しました。今回のQRコードの悪用も、スマートフォンの普及とQRコード利用の増加という社会的な変化に乗じたものです。このような歴史的経緯を理解することは、現在の脅威をより深く認識し、将来の攻撃に備える上で重要となります。
こんな人におすすめ
- 最新のフィッシング詐欺の手口と対策を知りたい企業の情報システム担当者
- 多要素認証(MFA)を導入しているが、その限界と新たな脅威について理解を深めたいセキュリティ管理者
- 日常的にメールやQRコードを利用しており、自身の認証情報保護に関心がある一般ユーザー
- クラウドサービス(特にAWSなど)のセキュリティ管理を担当しているITプロフェッショナル
- 従業員のセキュリティ意識向上トレーニングを企画・実施している人事・教育担当者
まとめ
Microsoftが詳細を公開した大規模フィッシングキャンペーンは、行動規範を装った巧妙なメールと、多要素認証を回避するAiTM技術を組み合わせた、非常に高度なサイバー攻撃の実態を浮き彫りにしました。この攻撃は、従来のセキュリティ対策だけでは不十分であり、特にMFAが万能ではないことを改めて認識させるものです。さらに、QRコードフィッシングの急増やAmazon SESの悪用、PhaaSプラットフォームの進化は、サイバー脅威が常に進化し、その手口が多様化していることを示唆しています。
企業も個人も、多層的なセキュリティ対策を講じ、最新の攻撃手口に対する知識を常に更新し、警戒を怠らないことが、認証情報や機密情報を守る上で不可欠です。具体的には、フィッシング耐性のあるMFAの導入、メールの厳重な確認、セキュリティ意識向上トレーニングの継続的な実施、そして最新のセキュリティソリューションの活用が求められます。今後も、攻撃者は新たな技術や社会情勢を悪用し続けると予想されるため、継続的なセキュリティ意識の向上と技術的な防御強化が、デジタル社会における安全を確保するための鍵となるでしょう。