チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「コンプライアンス通知メールだと思って開いたら、アカウントが乗っ取られていた?」
「多要素認証(MFA)を設定していても突破されるって、本当ですか?」
チップスボス!うちの会社にも「行動規範のレビューを開始しました」みたいなメールが来たでしゅ。
添付PDFまで本物っぽくて、思わずクリックしそうになったでしゅ…
ボスそれは危ない、チップス。
Microsoftが2026年5月4日に警告した多段階フィッシングは、コンプライアンス通知を装ってMFAごとMicrosoft 365アカウントを奪う手口だ。
26カ国で35,000ユーザーが標的になった大規模キャンペーンだぞ。
本記事では、Microsoft Threat Intelligenceが詳細を公開したAdversary-in-the-Middle(AiTM)型フィッシングの実態を整理します。
「MFA設定済みだから大丈夫」が通用しない理由を、自社環境の対策へ落とし込める粒度で見ていきましょう。
「うちは関係ない」と思った方ほど、最後まで読んで自社の認証方式を点検してください。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
Microsoft Threat Intelligenceが2026年5月4日に公開した報告によれば、4月14〜16日にかけて世界規模のフィッシングキャンペーンが発生しました。
標的の92%は米国ですが、グローバル展開している日本企業もMicrosoft 365を共有テナントで使うケースが多く、無関係とは言えません。
業種別では医療・ライフサイエンスが19%、金融サービス18%、専門サービス11%、IT・ソフトウェア11%。
規制対応の重い業界が狙われており、「行動規範レビュー」というルアー自体がよくできている点が共通しています。
送信者名は「Internal Regulatory COC」「Workforce Communications」など内部通知を装い、添付PDF名も「Awareness Case Log File – Tuesday 14th, April 2026.pdf」と精巧でした。
キャンペーンの主な特徴は以下の通りです。
| 項目 | 内容 |
|---|---|
| 標的規模 | 35,000ユーザー / 13,000組織 / 26カ国 |
| 攻撃集中期間 | 2026年4月14〜16日 |
| 主な業種 | 医療(19%)、金融(18%)、専門サービス(11%) |
| ルアー | 行動規範・コンプライアンス通知のなりすまし |
チップス業務メールにしか見えないでしゅ…これ、見抜くの厳しいでしゅよ。
ボスそう、人間の目で見抜く前提では負け戦になる。
だから「クリックしても被害が出ない」設計が必要なんだ。
従来のフィッシングはIDとパスワードを盗む程度でしたが、AiTM(Adversary-in-the-Middle)はリアルタイムでログイン処理に割り込みます。
正規のMicrosoft 365ログイン画面を間に挟み、ユーザーが入力したMFAコードまで含めて中継するため、認証成功直後のセッショントークンが攻撃者の手に渡るのです。
今回の攻撃者は、Cloudflare CAPTCHAを「自動解析の妨害装置」として悪用しました。
サンドボックスや自動クロールでは突破できないため、メールセキュリティ製品の検査をすり抜けます。
配信経路にも正規のクラウドサービスを使い、Microsoft Defenderの評判ベース検知を回避していました。
Microsoftが推奨する第一手は「フィッシング耐性のある認証方式」への切り替えです。
具体的にはWindows Hello、FIDO2セキュリティキー、Microsoft Authenticatorのパスワードレス認証などが該当します。
これらはAiTMで中継しても認証要素自体が漏れない仕組みになっており、現実的な切り札になります。
推奨対策の優先度は以下の通りです。
チップスFIDO2ってこのキャンペーンには効くんでしゅか?
ボス効く。AiTMが中継しても秘密鍵がデバイスから出ないからな。
パスワードレスにすればフィッシング自体が刺さらなくなる。
詳細はMicrosoft Security Blogの公式投稿を参照してください。
フィッシングの精度はもう、人間の注意力で見抜ける段階を超えています。
大事なのは「クリックされても」「ログイン情報を入れられても」セッションを奪わせない仕組みを作ること。
FIDO2・パスキー化と条件付きアクセスの組み合わせが、現時点で最も現実的な答えです。
チップスうちの教育用ポスター、「URLをよく見ましょう」しか書いてないでしゅ…
ボス意識啓発も必要だが、それだけでは戦えない。
認証基盤を作り変える方が、人を訓練するより効果が早い。
パスキー移行や条件付きアクセスの設計には、Microsoft 365に詳しいセキュリティ人材が欠かせません。
社内に知見がない場合は、外部のフリーランス活用も視野に入れて動き出しましょう。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
