大規模 AiTM フィッシング攻撃を検出:13,000 の組織から Microsoft 認証情報を窃取

Microsoft Flags Mass Phishing Campaign Using Fake Compliance Emails

2026/05/06 InfoSecurity — Microsoft Defender Research が検出したのは、13,000 を超える組織/35,000 人以上のユーザーを標的とする大規模 フィッシング・キャンペーンである。この認証情報窃取キャンペーンでは、偽の内部コンプライアンス通知や規制関連連絡がルアーとして使用されていた。 


使用されたルアーには、構造化されたレイアウトと真正性を強調する文言を備えた、企業を標的とする HTML テンプレートが採用されていた。一般的なフィッシング・メールよりも高い信頼性を装うことで、正規の内部連絡であるかのような説得力を高めている。 

このキャンペーンは 2026年4月15日〜16日に実施され、主に米国企業を標的とするものだったが、合計 26 カ国の組織で被害が確認された。

緊急コンプライアンス通知型のフィッシング誘導

Microsoft の分析によると、このメッセージには不正行為を示唆する非難内容や期限付きの対応要求が含まれており、緊急性と心理的圧力を与えることで被害者に行動を促していた。 

具体的には、件名に “Internal case log issued under conduct policy” などを用いることで、”行動規範レビューの開始” を主張し、本文に組織固有の名称を埋め込んでいた。それにより、”パーソナライズされた添付ファイルを開く” よう、受信者に指示する手法が取られていた。 

添付された PDF 内の、”Review Case Materials” リンクが、認証情報窃取フローの起点となっていた。承認済みの内部正規チャネルからメッセージを送信する攻撃者は、すべてのリンクや添付ファイルが安全性検証済みであると主張することで、その正当性を巧妙に装っていた。 さらに、HIPAA 準拠通信で使用される正規サービス Paubox により、暗号化されたメッセージであることを示す緑色バナーを表示させ、信頼性を強固なものにしていた。

こうした信頼性に欺かれたユーザーが、PDF 内のリンクをクリックすると、自動化された解析やサンドボックス検知を回避する目的で設置された、Cloudflare CAPTCHA を含むランディング・ページへリダイレクトされる。この CAPTCHA を通過した後に、”文書は暗号化されている” と表示する別のサイトへと誘導され、閲覧を続行するためのアカウント認証を要求される仕組みとなっていた。

Microsoft の分析は、デバイス・コード・フィッシングに類似しているが、実際には、AiTM ( adversary-in-the-middle) 手法の要素を主軸とした攻撃チェーンであるというものだ。 

メールアドレス入力やステータス・メッセージの確認など、複数段階のページを経由した後に、デバイス・タイプに応じた最終的なフィッシング・サイトへと、被害者はリダイレクトされる。そこで、コンプライアンス審査を装う偽の Microsoft サインインを行うことで、AiTM セッション・ハイジャックが開始され、認証トークンの窃取やアカウント侵害へと至る。

Microsoft による防御ガイダンス

Microsoft は、この脅威への対策として、以下の実施を推奨している。

  • Microsoft Defender XDR における自動攻撃遮断の有効化。
  • Exchange Online Protection/Defender for Office 365 の推奨設定の確認。
  • 脅威アクティビティの監視と対応手順の整備。
  • 現実的なフィッシング攻撃シナリオを用いた、従業員向けの訓練の実施。
  • パスワードレス認証対応アカウントの有効化。
  • パスワード利用アカウントに対する Microsoft Authenticator を使用した MFA 適用。
  • Defender for Office 365 における Safe Links/Safe Attachments 機能の有効化。

このキャンペーンは、高度に洗練された ソーシャル・エンジニアリングと AiTM 技術を組み合わせることで、従来の防御を回避する新たな脅威となっている。

訳者後書:今回の攻撃は、正規のサービスや洗練されたテンプレートを悪用して、心理的な隙を巧みに突くものです。この問題の原因は、攻撃者が AiTM (adversary-in-the-middle) という手法を使い、リアルタイムで認証情報を中継することで、従来の二要素認証さえも回避しようとした点にあります。さらに、正規の暗号化メールを装うバナーや CAPTCHA を用いて、セキュリティ製品の自動解析を回避する工夫も凝らされています。技術者としてシステムを守るためには、こうした人間の心理を操るソーシャル・エンジニアリングと、最新の技術的な回避策が組み合わされている現状を、正しく理解することが大切です。よろしければ、カテゴリー SocialEngineering も、ご参照ください。