チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「コンプライアンス通知メールだと思って開いたら、アカウントが乗っ取られていた?」
「多要素認証(MFA)を設定していても突破されるって、本当ですか?」
チップスボス!うちの会社にも「行動規範のレビューを開始しました」みたいなメールが来たでしゅ。
添付PDFまで本物っぽくて、思わずクリックしそうになったでしゅ…
ボスそれは危ない、チップス。
Microsoftが2026年5月4日に警告した多段階フィッシングは、コンプライアンス通知を装ってMFAごとMicrosoft 365アカウントを奪う手口だ。
26カ国で35,000ユーザーが標的になった大規模キャンペーンだぞ。
本記事では、Microsoft Threat Intelligenceが詳細を公開したAdversary-in-the-Middle(AiTM)型フィッシングの実態を整理します。
「MFA設定済みだから大丈夫」が通用しない理由を、自社環境の対策へ落とし込める粒度で見ていきましょう。
「うちは関係ない」と思った方ほど、最後まで読んで自社の認証方式を点検してください。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
Microsoft Threat Intelligenceが2026年5月4日に公開した報告によれば、4月14〜16日にかけて世界規模のフィッシングキャンペーンが発生しました。
標的の92%は米国ですが、グローバル展開している日本企業もMicrosoft 365を共有テナントで使うケースが多く、無関係とは言えません。
業種別では医療・ライフサイエンスが19%、金融サービス18%、専門サービス11%、IT・ソフトウェア11%。
規制対応の重い業界が狙われており、「行動規範レビュー」というルアー自体がよくできている点が共通しています。
送信者名は「Internal Regulatory COC」「Workforce Communications」など内部通知を装い、添付PDF名も「Awareness Case Log File – Tuesday 14th, April 2026.pdf」と精巧でした。
キャンペーンの主な特徴は以下の通りです。
| 項目 | 内容 |
|---|---|
| 標的規模 | 35,000ユーザー / 13,000組織 / 26カ国 |
| 攻撃集中期間 | 2026年4月14〜16日 |
| 主な業種 | 医療(19%)、金融(18%)、専門サービス(11%) |
| ルアー | 行動規範・コンプライアンス通知のなりすまし |
チップス業務メールにしか見えないでしゅ…これ、見抜くの厳しいでしゅよ。
ボスそう、人間の目で見抜く前提では負け戦になる。
だから「クリックしても被害が出ない」設計が必要なんだ。
従来のフィッシングはIDとパスワードを盗む程度でしたが、AiTM(Adversary-in-the-Middle)はリアルタイムでログイン処理に割り込みます。
正規のMicrosoft 365ログイン画面を間に挟み、ユーザーが入力したMFAコードまで含めて中継するため、認証成功直後のセッショントークンが攻撃者の手に渡るのです。
今回の攻撃者は、Cloudflare CAPTCHAを「自動解析の妨害装置」として悪用しました。
サンドボックスや自動クロールでは突破できないため、メールセキュリティ製品の検査をすり抜けます。
配信経路にも正規のクラウドサービスを使い、Microsoft Defenderの評判ベース検知を回避していました。
Microsoftが推奨する第一手は「フィッシング耐性のある認証方式」への切り替えです。
具体的にはWindows Hello、FIDO2セキュリティキー、Microsoft Authenticatorのパスワードレス認証などが該当します。
これらはAiTMで中継しても認証要素自体が漏れない仕組みになっており、現実的な切り札になります。
推奨対策の優先度は以下の通りです。
チップスFIDO2ってこのキャンペーンには効くんでしゅか?
ボス効く。AiTMが中継しても秘密鍵がデバイスから出ないからな。
パスワードレスにすればフィッシング自体が刺さらなくなる。
詳細はMicrosoft Security Blogの公式投稿を参照してください。
フィッシングの精度はもう、人間の注意力で見抜ける段階を超えています。
大事なのは「クリックされても」「ログイン情報を入れられても」セッションを奪わせない仕組みを作ること。
FIDO2・パスキー化と条件付きアクセスの組み合わせが、現時点で最も現実的な答えです。
チップスうちの教育用ポスター、「URLをよく見ましょう」しか書いてないでしゅ…
ボス意識啓発も必要だが、それだけでは戦えない。
認証基盤を作り変える方が、人を訓練するより効果が早い。
パスキー移行や条件付きアクセスの設計には、Microsoft 365に詳しいセキュリティ人材が欠かせません。
社内に知見がない場合は、外部のフリーランス活用も視野に入れて動き出しましょう。
オススメ案件
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
【大手物流グループのクラウドセキュリティコンサル】新橋・リモート可/AWS・Azure・GCP
【急成長SaaSのSRE支援】フルリモート(地方可)/AWS・Terraform・Ruby・Go
【M365・セキュリティ運用およびテクニカルサポート支援】飯田橋(リモート併用)/Entra ID・Intune・Defender
【企業内アプリ開発のゼロトラスト環境整備・運用】麹町(月1回出社)/AWS・Terraform・セキュリティツール
【決済端末ソフトウェア開発(PCI DSS対応エンジニア)】フルリモート/PCI DSS・決済システム
【既存システムのISMAP対応】東京・汐留(リモート併用)/Gap分析・監査対応支援
