エネルギー企業を狙うAiTMフィッシング、信頼ドメインとSharePointリンクでMFAをすり抜けセッションを奪取します

今日の深掘りポイント

• 逆プロキシ型のAiTM（Attack-in-the-Middle）が、MFA済みの認証フローでもセッションCookieを奪い取り横展開に使う、いま現場で最も厄介な系統のフィッシングです。
• 侵害済みの「信頼できる送信元」からSharePointリンク（件名例「NEW PROPOSAL–NDA」）を投下し、セキュリティ検知とユーザーの警戒心を同時に下げています。
• パスワード変更だけでは無意味に近く、アクティブセッションの無効化と不正な受信トレイルールの除去が初動の要になります。
• 事業継続とレピュテーションの観点で、サプライチェーンを巻き込む波及（BEC拡大、見積・購買業務の麻痺）がエネルギー領域では直結のリスクです。
• 新規性は中程度でも緊急性・実行可能性が高い案件です。条件付きアクセスの強化、フィッシング耐性MFA（FIDO2/パスキー）、OAuthアプリ審査、SharePoint外部共有ガバナンスを即日から動かす価値が高いです。

はじめに

AiTMは、フィッシングの「古さ」と「新しさ」が同居する手口です。見かけは従来の誘導メールですが、実体は逆プロキシを挟んだ認証なりすましで、MFAを通過した後のセッションそのものを奪います。エネルギー企業は信頼ドメインのやり取りが多く、しかも相手先も大手・官公庁・重要サプライヤと“信頼の輪”が重なります。だからこそ、1社の侵害が別の1社の検知回避に直結する、厄介な連鎖が起きやすいのです。

今回、マイクロソフトがエネルギーセクターへのAiTMフィッシング活発化を警告しました。パスワードリセットでは足りず、アクティブセッションの無効化と不正受信トレイルールの削除を求めています。ここに、この攻撃が“認証前”ではなく“認証後”を狙う本質が表れています。現場は、メール、ID、SaaS、そして外部共有の各レイヤで同時に手を打つフェーズに入っています。

深掘り詳細

事実（確認できること）

• エネルギー企業に対し、信頼できる組織の送信元アドレスを用いたフィッシングが観測されています。SharePointリンクを悪用し、「NEW PROPOSAL–NDA」など業務文脈に沿った件名で偽ログインページへ誘導します。攻撃者は認証情報とセッションCookieを取得し、これを基に更なる拡散（追加フィッシングの踏み台化）を図ります。
• パスワードのリセットだけでは継続的な不正アクセスを止められないため、アクティブセッション（刷新トークン含む）の無効化と、攻撃者が作成した受信トレイルールの削除が必要とされています。これらは不正なメールの自動転送・隠蔽・再フィッシング加速を止めるための措置です。
• 上記は、マイクロソフトの警告を報じた記事として整理されています（参考: Help Net Security）［出典: 下記参考情報］。

参考情報:

• Help Net Securityによる報道（マイクロソフトの警告、SharePointリンク悪用、件名例、対処方針の要旨）: https://www.helpnetsecurity.com/2026/01/22/energy-sector-aitm-phishing-sharepoint-misuse/

インサイト（編集部の見立て）

• なぜパスワード変更では止まらないのか: AiTMはMFAを通過した後のセッションCookieを奪い、Cookieリプレイで継続アクセスします。よって「秘密そのもの（パスワード）を替える」より「今握られている通行証（セッション/リフレッシュトークン）を無効化」する方が本質的な防御になります。さらに、受信トレイルールの除去は、「検知の目」を攻撃者に潰されない最低限の対策です。
• 信頼ドメインの反転: 侵害済みの正規テナントからのSharePointリンクは、SPF/DKIM/DMARC整合やURL評判の良さでゲートを通りやすく、ユーザーも開きやすいです。エネルギー企業は調達・法務・建設案件などでNDAや提案依頼のやり取りが多く、件名・本文の自然さが高いのも被弾率を上げる要因です。
• リスクの質: 新規性は高くない一方、緊急性・実行可能性・攻撃の確度が高い構図です。つまり「すぐ効く防御」が多い領域でもあります。条件付きアクセス、フィッシング耐性MFA、セッション無効化の運用標準化、OAuthアプリ審査、SharePoint外部共有のガバナンス——このあたりを優先度高で回すのが投資対効果の良い順番です。
• 攻撃側の次の一手（仮説）: Cookieリプレイ後、攻撃者はOAuth同意（Illicit Consent）やメールボックス委任・自動転送設定で持続化を図る傾向が強いはずです。したがって、セッションを潰した後に「なぜ再侵入できたか」を追う第二段の調査（アプリ同意・権限、委任、共有リンク範囲の棚卸し）までを一連の初動と定義するのが現実的です。

脅威シナリオと影響

以下は、MITRE ATT&CKに沿って編集部が整理した想定シナリオです（仮説を含みます）。

• シナリオ1: 調達・法務の担当者が踏み台化し、BECに連鎖

  • 流れ（想定）:
    1. 信頼送信元＋SharePointリンクで誘導 → 2) AiTMで資格情報＋セッションCookie窃取 → 3) メールボックスに隠蔽ルール作成 → 4) 既存スレッドに便乗して追加請求や口座情報改ざんのBEC展開。
  • ATT&CK（仮説）:
    • T1566.002 Spearphishing Link
    • T1199 Trusted Relationship（侵害済み正規組織の関係性悪用）
    • T1539 Steal Web Session Cookie（Cookie窃取）
    • T1550.004 Use of Web Session Cookie（Cookieリプレイ）
    • T1114.003 Email Collection: 受信トレイルールの悪用
    • T1098.003 Account Manipulation: メールボックス委任（可能性）

• シナリオ2: クラウド持続化とSaaS間横展開

  • 流れ（想定）:
    1. 取得セッションでM365へアクセス → 2) 悪性OAuthアプリへの同意取得（Illicit Consent） → 3) Graph API経由でメール送信・ファイルアクセスを自動化 → 4) テナント内外へ再フィッシング。
  • ATT&CK（仮説）:
    • T1528 Steal Application Access Token / T1098.002 Additional Cloud Credentials（同意ベースの持続化）
    • T1114.002 Remote Email Collection（サーバ側のメール収集）
    • T1078 Valid Accounts（正規資格情報の継続利用）

• シナリオ3: OT/ICSへの波及を狙う情報収集（間接的影響）

  • 流れ（想定）:
    1. 企業側のプロジェクト文書・ベンダ接続情報の収集 → 2) 外部ベンダ連絡先のハイジャック → 3) 運用窓口へのソーシャルエンジニアリング強化（遠隔接続申請、緊急対応名目の権限昇格要請）。
  • ATT&CK（仮説）:
    • T1087 Account Discovery / T1033 System Owner/User Discovery（担当者把握）
    • T1593 Search Open Websites/Domains（公開情報の補完）
    • T1566.001 Spearphishing Attachment（設計図や手順書を装う可能性）

影響面では、業務メールの完全性と決済フローの信頼が損なわれることがまず痛打になります。エネルギー領域は価格・需給・規制の反応が速く、わずかな運転停止や請求混乱がサプライチェーン全体の波及に直結します。加えて、サードパーティからの“正規通知”がそのまま攻撃媒体になるため、取引先・現場の心理的安全性を下げる副作用が長引きます。

セキュリティ担当者のアクション

即時（本日〜48時間）

• 侵害前提の緊急点検
  • メールボックス横断で新規・変更された受信トレイルール、転送設定、委任設定を列挙し、不審なものは隔離・削除します。
  • 重要ユーザー（財務、購買、法務、運用監視、サプライヤ窓口）のアクティブセッションを無効化し、全社的に高リスクサインインの再認証を強制します。
  • 直近のSharePoint/OneDriveの外部共有招待と匿名リンク生成履歴を棚卸しし、不要・不審な共有を即時取り消します。
• メール・リンク防御の暫定強化
  • SharePoint/OneDriveの外部共有を「既知の組織・ドメインの許可リスト」中心に一時的に絞り込みます。
  • メールゲートウェイ/Defenderで、sharepoint.com系リンクを含む外部メールのサンドボックス展開とリライトを強制し、スレッド便乗も高感度化します。
• 現場コミュニケーション
  • 「NEW PROPOSAL–NDA」等の件名・SharePointリンクを装う誘導が続発中である旨を全社通知し、疑わしいリンクの報告ルートを再周知します。

短期（2週間）

• IDとセッションの強化
  • 条件付きアクセスで、全ユーザーに強制MFA、かつハイリスク検出時の再認証を必須化します。フィッシング耐性MFA（FIDO2/パスキー）を優先ロールアウトします。
  • セッションの制御（再認証頻度、永続ブラウザセッションの抑制、リフレッシュトークン寿命の見直し）とContinuous Access Evaluation相当の機能を有効化します。
  • レガシー認証（IMAP/POP/Basic）の全面遮断を徹底します。
• OAuth/アプリ同意のガバナンス
  • 管理者同意必須、検証済みパブリッシャのみ許可、許可スコープの事前承認（アプリ許可ポリシー）を設定し、既存の高権限アプリを棚卸しします。
• 検知の具体化
  • 兆候ベースのアラート整備：短時間の大量セッション発行、海外/新ASNでのCookie再利用、Outlookルール新規作成・変更、MailboxForwardingの変更、GraphのSendMail過多、SharePoint匿名リンクの突発的増加など。

中期（90日）

• 外部共有とサプライチェーンの秩序化
  • 取引先ごとの共有方針（ドメイン許可リスト/ブロック、匿名リンク禁止、ダウンロード不可の閲覧専用など）をテンプレ化し、運用に落とし込みます。
  • ベンダ管理・購買・財務の「決済系メール」のゼロトラスト化（たとえば支払先変更は必ず二経路確認、メール外チャネルで承認）を標準手順化します。
• トークン防御の段階的導入
  • 利用可能な環境ではトークン保護/端末バインディング相当の機能を有効化し、奪取トークンの流用価値を下げます。
• 教育・演習
  • SharePointリンク便乗型とスレッドハイジャック型を再現した模擬演習を、管理部門と現場の双方で実施します。単純なリンク見分けではなく「正規相手先でも必ず検証する」動線を体に覚えさせます。

検知ヒント（運用の勘所）

• 「正規相手先からの突然のNDA提案」「既存スレッドへの不自然なファイル共有差し込み」は、人も機械も見落としがちです。メールルール生成、MailboxForwarding、Graphの同意・権限追加、匿名リンク生成など“設定変更イベント”を一段高い重みでモニタするのが有効です。
• セッションを潰して終わりにしないこと。次の侵入口になりやすいのは、OAuthの同意、メール委任、外部共有の残骸です。初動から「持続化の温床」を潰す前提でプレイブックを作ると再犯率が落ちます。

参考情報

• Help Net Security: Microsoftが警告するエネルギーセクター向けAiTMフィッシングとSharePointリンク悪用の詳細（2026-01-22）: https://www.helpnetsecurity.com/2026/01/22/energy-sector-aitm-phishing-sharepoint-misuse/

編集後記

• 現場の目線で言えば、これは「完全に新しい攻撃」ではありません。だからこそ、今日から動かせる実務の引き出しが多い案件です。信頼の輪が攻撃の輪に反転する瞬間をいかに短くするか——セッションと設定の“いま”に着目した運用が、被害の面積を確実に縮めます。今日の一手を、明日の既定動作に落としていきたいです。