SharePoint 標的の AiTM フィッシング・キャンペーンを検出:大規模かつ広範な BEC 活動へと拡大

Threat Actors Leverage SharePoint Services in Sophisticated AiTM Phishing Campaign

2026/01/24 CyberSecurityNews — SharePoint ファイル共有の悪用を通じてエネルギー業界の組織を標的とする、高度な中間者攻撃 (AiTM) フィッシング・キャンペーンが展開されていることを、Microsoft Defender の研究者が明らかにした。この多段階攻撃は、複数の組織におけるユーザー・アカウントを侵害し、大規模かつ広範なビジネス・メール詐欺 (BEC) 活動へと拡大している。

信頼できるベンダー経由の初期侵害

信頼できるベンダーの、侵害されたメール・アドレスからのフィッシング・メールにより、この攻撃は始まった。脅威アクターは、認証を必要とする SharePoint URL を悪用し、正規のドキュメント共有ワークフローを模倣することで疑念を回避する。

AiTM phishing attack (source: Microsoft)
AiTM phishing attack (source: Microsoft)

この攻撃者が悪用したのは、エンタープライズ環境に広く普及し、従来のメール・セキュリティ・フィルターを頻繁に回避する、Microsoft SharePoint/OneDrive サービスへの広範な信頼である。被害者が悪意の SharePoint リンクをクリックし、偽のログイン・ページで認証情報を入力すると、攻撃者はユーザー・セッションへのアクセス権を獲得する。

その直後に受信トレイ・ルールを作成した攻撃者は、悪意のアクションに関連する受信メールの削除およびメッセージの既読処理を行うことで、ステルス性を維持しながら侵害したアカウントを監視した。この戦術により、被害者による不審なアクティビティの検知や、セキュリティ・アラートの受信が妨げられた。

攻撃の拡大と隠蔽工作

初期の侵害を完了した攻撃者は、被害者組織の内外の連絡先に対して 600 通を超えるメールを送信する、大規模なフィッシング・キャンペーンを展開した。このキャンペーンは、侵害した受信トレイ内の最近のメール・スレッドから特定された受信者を標的とし、攻撃範囲を大幅に拡大させるものだった。

被害者のメールボックスを積極的かつ継続的に監視する攻撃者は、未配信通知/不在通知を削除することで検知回避を図った。受信者が不審なメールについて問い合わせた場合においては、脅威アクターは侵害したアカウントから正当性を装いながら確認を行い、その後に会話スレッドを削除していた。

これらの手法により、被害者に対して進行中の悪意の操作を認識させることなく、持続的な活動が維持された。Microsoft Defender の専門家は、ランディング IP およびサインイン・パターンをベースにして、新たに侵害されたユーザーを特定した。それにより、明らかにされたのは、このキャンペーンがエネルギー業界の広範な組織に及んでいることだった。

AiTM attack (source: Microsoft)
AiTM attack (source: Microsoft)
推奨される対策

AiTM 攻撃に関する修復において、パスワードのリセットのみでは不十分であると Microsoft は強調している。組織にとって必要なことは、アクティブなセッション Cookie を失効させ、攻撃者が作成した受信トレイ・ルールを削除し、脅威アクターにより変更された MFA 設定をリセットすることだ。

攻撃者は、自身が制御する電話番号を用いて代替 MFA 手法を登録できるため、パスワード変更後であっても、盗み取ったセッション Cookie を通じてアクセスを維持できる。Microsoft が推奨するのは、IP アドレス/デバイスの状態/ユーザー・グループのメンバーシップなどの ID シグナルを用いて、サインイン・リクエストを評価する条件付きアクセス・ポリシーの実装である。

継続的なアクセス評価と、Microsoft Entra ID (旧 Azure Active Directory) のセキュリティ・デフォルト設定、高度なフィッシング対策ソリューションにより、追加の防御層が提供される。

ユーザー組織は Microsoft Defender XDR を導入し、複数アカウントへのサインイン試行や、悪意の受信トレイ・ルールの作成といった不審なアクティビティを検知すべきである。

侵害の兆候 (IoC)
  • 178.130.46.8 (攻撃者のインフラ)
  • 193.36.221.10 (攻撃者のインフラ)

エネルギー業界の組織は、これらの IP アドレスを認証ログ内で直ちに確認し、関連するサインイン・アクティビティを調査する必要がある。

Microsoft SharePoint を悪用してエネルギー業界を狙う、巧妙な中間者攻撃 (AiTM) フィッシング・キャンペーンが報告されました。この問題の背景にあるのは、SharePoint や OneDrive への信頼を逆手に取る攻撃者が、認証情報を盗むだけでなく、ログイン後のセッションCookie までも奪取して、多要素認証 (MFA) を無効化してしまう戦術です。

この攻撃は、取引先など信頼できる相手の、乗っ取られたメールアドレスから届く SharePoint の共有リンクから始まります。本物そっくりの偽ログイン画面でユーザーが認証を行うと、攻撃者によりセッションが横取りされ、アカウントに対する完全な制御が奪取されてしまいます。さらに攻撃者は、被害者のメールボックスに特定のメールを自動削除するルールを作成し、不審な動きに気づかせないよう隠蔽工作を行っていました。

この攻撃の恐ろしい点は、パスワードを変更しただけでは不十分なことです。すでに認証済みのセッションを維持している攻撃者が、別の MFA 手段を登録している可能性があるためです。よろしければ、SharePoint での検索結果も、ご参照ください。