2026-07-10

ハッカーが偽のMicrosoft Entraパスキー登録を利用してMicrosoft 365にアクセス

ハッカーがMicrosoft 365ユーザーを狙い、音声を使った偽のセキュリティリクエストを行い、新しいEntraパスキーの登録を促しています。この攻撃は、O-UNC-066というモニカーで追跡されている脅威アクターによって実行されており、食品・飲料、テクノロジー、医療、自動車、建設、航空業界をターゲットにしています。攻撃者は、パスキー登録プロセスを模倣したフィッシングキットを使用し、ユーザーを騙して自らのパスキーを登録させることで不正アクセスを行っています。

メトリクス

このニュースのスケール度合い

5.5 /10

インパクト

7.5 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.5 /10

このニュースで行動が起きる/起こすべき度合い

8.5 /10

主なポイント

  • O-UNC-066という脅威アクターが、音声を使ったフィッシング攻撃を通じてMicrosoft 365のユーザーを狙っています。
  • 攻撃者は、ユーザーに偽のパスキー登録を促し、実際には自らのパスキーを登録させる手法を用いています。

社会的影響

  • ! この攻撃は、企業のセキュリティ意識を高める必要性を示しています。
  • ! ユーザーが新しい認証手段に不慣れであることを利用した攻撃は、今後も増加する可能性があります。

編集長の意見

この攻撃は、サイバーセキュリティの新たな脅威を浮き彫りにしています。特に、パスキーという新しい認証手段が普及する中で、攻撃者はその導入過程を利用して不正アクセスを試みています。ユーザーが新しい技術に対して不安を抱くことは、攻撃者にとって格好のターゲットとなる要因です。企業は、従業員に対して新しい認証手段の教育を行い、フィッシング攻撃に対する意識を高める必要があります。また、技術的な対策としては、MFAの導入や、ユーザーの行動を監視するセキュリティシステムの強化が求められます。今後、サイバー犯罪はますます巧妙化し、特に新しい技術を利用した攻撃が増加することが予想されます。企業は、常に最新の脅威情報を把握し、適切な対策を講じることが重要です。さらに、ユーザー自身も、知らない電話からのリクエストには慎重になるべきです。これにより、攻撃者の手口に騙されるリスクを減少させることができます。

解説

偽のEntraパスキー登録を音声で誘導しMicrosoft 365を奪取――“強い認証”の盲点は「登録フロー」でした

今日の深掘りポイント

  • パスキー(FIDO2/Passkeys)は認証そのものには強いが、登録(Enrollment)工程は社会工学で破られやすいです。
  • 音声による“緊急のセキュリティ要請”を口実に、攻撃者自身のパスキーをユーザーのアカウントへ登録させることで、正規の認証を用いた持続的な不正ログインが成立します。
  • Microsoft 365/Entra IDの「セキュリティ情報登録」を守る条件付きアクセスや、FIDO2/AAGUIDの許可リスト化など、対策の要は“登録のガードレール化”です。
  • 監視の盲点は「認証方法の追加」イベント。監査ログの常時監視・相関(地理・ネットワーク・端末態様)を即座に整備すべきです。
  • 供給網・多業種でのM365依存を踏まえると、単発の侵害が取引先・委託先へ波及しやすく、BECや恐喝型リークに発展しやすいです。

はじめに

「パスキーはフィッシングに強い」――このフレーズが独り歩きするなか、攻撃者は別のドアを選びました。すなわち、ユーザー認証の“入り口”ではなく、“鍵(パスキー)を鍵穴に登録する工程”そのものを騙し取るやり口です。今回報じられた事案では、音声通話で「セキュリティ上の必須更新」を装い、ユーザーに新しいEntraパスキーの登録を急がせるという手口が用いられています。登録が済めば、以後は攻撃者自身のパスキーで正規ログインが可能になり、監視の目をくぐって持続的なアクセスが成立します。

編集部の視点では、これは「強力な認証方式の普及期に必ず生じる、“導入・登録フロー”の防御ギャップ」を突いた典型例です。MFA普及の過渡期に見られた“ワンタイムコード代読”や“プッシュ疲労”と同根で、UX上のキャンペーンや社内告知が、攻撃者のストーリーに説得力を与えてしまう構図が見えます。急ぎ、登録フローを“特権操作”として扱う設計への転換が必要です。

深掘り詳細

事実関係(報道ベース)

  • ハッカーがMicrosoft 365(Microsoft Entra ID)利用組織を狙い、音声通話で「セキュリティに関する緊急の要請」を偽装。ユーザーに新しいパスキー(Passkey/FIDO2)の登録を促す事案が報じられています。
  • フィッシングキットは、正規のパスキー登録体験を模倣し、被害者が気づかぬまま攻撃者のパスキーをユーザーアカウントに登録させることで、不正アクセスを実現するとのことです。
  • 攻撃者はO-UNC-066として追跡され、食品・飲料、テクノロジー、医療、自動車、建設、航空といった多業種を狙っているとされています。データ漏洩サイトの運用や恐喝との関連も指摘されています(いずれも報道の範囲)です。
  • 参考情報(報道): The Hacker News: Hackers Use Fake Microsoft Entra Passkey Registration to Access Microsoft 365

注記:上記は二次報道に基づく整理です。一次情報の公開が限定的なため、技術的ディテールの一部は推測の余地がある点に留意ください。

編集部のインサイト(なぜ効くのか)

  • 盲点は「登録は権限昇格に等しい」ことです。強固なパスキーでも、“誰のパスキーが登録されるか”を誤らせれば、以降は正規の多要素認証フローで侵入が持続します。ここを特権操作として縛っていない環境は、社会工学に弱いです。
  • “セキュリティ更新のお願い”という物語は、ちょうどパスキー導入やMFA見直しの社内コミュニケーションと同調しやすく、ユーザーは「やるべきことをやっている」感覚のまま加害者の手続きを完了させてしまいます。
  • 技術的な手当てが効きにくい理由は、行為そのものが正規UI・正規API経由の「設定変更」として成立している点にあります。これを「不正ログインの前兆」として見抜くには、監査・検知のスコープを“サインイン”から“認証方法のライフサイクル”へと拡張する必要があります。
  • 組織面のボトルネックは、ヘルプデスクや情シスの電話対応手順です。折り返し検証やチケット起点の本人確認が徹底されていないと、「社内からの依頼」を装った音声誘導を止められません。

脅威シナリオと影響

以下は報道と一般的なEntra/M365運用に基づく仮説シナリオです。具体の実装・ログ命名は環境差がありますので、自組織のテレメトリに置き換えて検証してください。

  • シナリオA:音声誘導 + フィッシングUIでの登録乗っ取り

    • 攻撃者が「緊急のセキュリティ更新」を装って電話連絡
    • 被害者を偽装サイトまたは手順誘導により正規ポータルへ誘導
    • 被害者の既存MFAで再認証させ、攻撃者側のFIDO2/パスキーを当該アカウントへ登録
    • 以後、攻撃者は自らのパスキーで正規ログインし、メール・ファイルへ持続的アクセス
    • MITRE ATT&CK(仮説):
      • T1566 Phishing(音声を含む社会工学)
      • T1098 Account Manipulation(認証手段の追加)
      • T1078 Valid Accounts(正規資格情報の悪用)
  • シナリオB:ヘルプデスクなりすまし + 登録ブートストラップ悪用

    • 攻撃者が情シス/ヘルプデスクを名乗ってユーザーに連絡
    • 登録ブートストラップ手段(例:一時コード等の運用措置)を不正に案内・取得
    • 取得したブートストラップで攻撃者のパスキー/認証器を登録
    • MITRE ATT&CK(仮説):
      • T1566 Phishing
      • T1111 Multi-Factor Authentication Interception(登録時に用いる要素のだまし取り)
      • T1098 Account Manipulation
  • シナリオC:登録完了後の静かな横展開と恐喝

    • 取得済みの正規セッションでメール・SharePoint/OneDriveから高価値データを収集
    • 取引先宛のBECや、リークサイトでの恐喝に発展
    • MITRE ATT&CK(仮説):
      • T1087 Account Discovery / T1046 Network Service Discovery(横展開用の偵察)
      • T1039 Data from Network Share / T1114 Email Collection(データ収集)
      • T1567 Exfiltration Over Web Service(クラウド経由の持ち出し)

想定影響としては、メール・ファイルの長期窃取、支払い指示の改ざん(BEC)、経営・法務文書の恐喝材料化、さらにサプライチェーン先への二次被害が現実的です。攻撃の成立条件が現場で再現しやすく、短期的に被害が広がるリスクは高いと見ます。

セキュリティ担当者のアクション

“サインインを守る”から“登録を守る”へ。設計・運用・検知を一体で固めることが肝要です。

  • 登録フローのガードレール化(最優先)

    • 条件付きアクセスで「セキュリティ情報の登録/管理」アクションを個別に制御し、信頼済みネットワーク・準拠デバイス・強固な二要素を必須にします。
    • パスキー/FIDO2の自己登録を原則禁止し、ヘルプデスク経由(チケット・本人確認・承認フロー)のみ許可する運用へ移行します。
    • FIDO2ポリシーでAAGUIDの許可リスト化とアテステーション必須化を検討し、支給鍵・企業管理デバイス以外の登録を遮断します。
    • 高リスク役割(経理、購買、経営層、グローバル管理者)は登録アクションをさらに厳格化し、PIMでの昇格時のみ登録を許すなどの分離を行います。
  • 検知と監査の強化(即時着手)

    • Entra監査ログの「認証方法の追加・削除」「セキュリティ情報の変更」をリアルタイム監視対象にします(アクティビティ名・呼出し元IP・端末態様・地理の相関)。
    • しきい値例:短時間での複数ユーザーへのFIDO2追加、従来観測のないASN/プロキシからの登録、時間外の登録イベントなどを高優先度でアラート化します。
    • 登録直後の行動監視をルール化します(大量メールアクセス、SharePoint検索の急増、外部共有リンクの作成など)。
  • 音声ソーシャルエンジニアリング対策(恒常運用)

    • 「着信ベースの依頼に応じて設定変更はしない」「必ず社内ディレクトリの番号へ折り返し」「チケット番号と本人確認二要素の一致」を標準手順にします。
    • 緊急性・権威付け・罰則を強調する話法は赤信号であることを、マイクロラーニングと疑似訓練(vishing演習)で体得させます。
  • セッション・トークンと登録ブートストラップの健全性確保

    • セッション強制再認証や短いサインイン有効期間、条件付きアクセスのセッション制御(デバイス態様の変化時に再認証)を設定します。
    • 登録ブートストラップ(例:一時コード等)は短寿命・単回使用・チケット必須・上長承認を原則化し、電話のみでの発行を禁じます。
  • 事後対応プレイブック(準備)

    • 兆候発見時は、当該ユーザーの全セッション無効化、疑わしいFIDO2/Authenticatorの即時削除、パスワード/復旧情報のリセット、メール転送ルールの確認、外部共有の棚卸しを標準手順化します。
    • 被害スコープの自動推定(登録イベントから直近のアクセス先一覧、ファイルダウンロード・メール送信の異常)をダッシュボード化します。
  • ガバナンス・周知

    • 社内のパスキー導入・見直しの広報は、攻撃者の口実になりやすいです。周知は「行うべき操作の具体手順」「社内サイトのURL」「電話は使わない」「不審時の連絡先」をセットで行い、ばら撒きではなくチケット駆動に寄せます。
    • 取引先にも登録フロー防御の重要性を共有し、BEC連鎖を防ぐ相互確認プロセス(振込口座変更は二経路確認など)を整備します。

今回の指標から総合すると、短期での実害化可能性と運用上の対処容易性が同居している案件です。すなわち「いま施策を打てば効果が高い」テーマです。強い認証の普及を止めるのではなく、登録という“見えにくい特権操作”をプロセスと技術の両輪で支える――ここに経営と現場の合意を素早く取り付けることが、組織のレジリエンスを大きく底上げします。

参考情報

  • The Hacker News: Hackers Use Fake Microsoft Entra Passkey Registration to Access Microsoft 365(報道): https://thehackernews.com/2026/07/hackers-use-fake-microsoft-entra.html

背景情報

  • i この攻撃は、音声を用いたフィッシング(vishing)手法を利用しており、攻撃者はパスキーという新しい認証手段を悪用しています。Microsoftは、ユーザーにパスキーの登録を促すキャンペーンを行っているため、攻撃者はこの流れを利用してユーザーを騙しています。
  • i フィッシングキットは、ユーザーがパスキーを登録する際のプロセスを模倣しており、リアルタイムでユーザーのMFA要件に応じた体験を提供します。これにより、攻撃者はユーザーの認証情報を取得し、Microsoftアカウントに不正アクセスすることが可能になります。