リアルタイムでMFAをすり抜ける「トークン奪取型」フィッシング──Microsoftが明かした3日間・26カ国規模の一斉攻撃の本質

今日の深掘りポイント

• 3日間（4/14〜16）に26カ国・1.3万超の組織・3.5万人を狙った、短期集中・高密度の一斉キャンペーンです。標的の92%が米国で、医療・金融・プロフェッショナルサービス・テックに集中しています。
• 企業風のHTMLテンプレートと緊急性の訴求でクリックを誘導し、攻撃者支配のドメインでMicrosoftアカウントの認証をリアルタイム中継する「Adversary‑in‑the‑Middle（AiTM）」でMFAを迂回しています。
• 正規のメール配信・ホスティング等の“信頼のサプライチェーン”を悪用し、フィルタをすり抜ける手筋です。即時のトークン無効化とドメイン/リンク防御が有効打になります。
• 技術としての新規性は大きくない一方、攻撃運用の工業化と越境インフラの巧妙さが一線を画します。SOCは「MFA成功後の不審なセッション」を起点とするハンティングに舵を切るべきです。
• 日本は相対的な狙いの薄さに油断しがちですが、グローバルSaaS利用と連鎖リスクを考えると“明日は我が身”です。FIDO2等のフィッシング耐性MFAとトークン保護・CAEを最優先で進めるべきです。

はじめに

「MFAさえ入れておけば安心」という前提は、もはや攻撃者の側が利用する“思い込み”になりつつあります。今回Microsoftが公表したキャンペーンは、たった3日間のスプリントで、国境と業種をまたいで数万人規模のユーザーに迫り、ユーザーの認証行為そのものを攻撃者の手元に“中継”させることでセッションを奪いました。技術は新しくなくても、運用の熟練とサプライチェーン悪用の徹底が、守る側のスピードと想像力を試す段階に入ったと感じます。現場に必要なのは、メールの1通単位ではなく「セッション単位の防御と可視化」への発想転換です。

深掘り詳細

事実関係（Microsoft発表に基づく整理）

• 期間と規模: 2026年4月14〜16日の3日間で、26カ国・13,000超の組織・35,000人以上を標的としたフィッシングです。標的の92%は米国で、医療、金融、プロフェッショナルサービス、テクノロジー分野が主な狙いです。
• 手口: 企業風のHTMLテンプレートによる緊急通知を装い、攻撃者が制御するドメインへ誘導します。最終段で、Microsoftアカウントの認証を攻撃者側のリバースプロキシでリアルタイム中継（AiTM）し、MFAを迂回して認証情報やセッション素材を収集します。
• 基盤悪用: 正規のメール配信・ホスティング等を中継してフィルタリング回避と信頼性の付与を図っています。
• 対応示唆: 即時のトークン失効、ドメイン/URL防御の強化が重要とされています。

出典（公開二次情報）: The Hacker News: Microsoft Details Phishing Campaign

Packet Pilotの視点（インサイト）

• スケールよりも「濃度」と「回線設計」が脅威です。3日間という短期決戦で、検知網が十分学習・適応する前に成果を刈り取る設計です。検知をかいくぐるため、正規サービスや高速で使い捨てるドメインを組み合わせ、回線側で優位を作っています。
• 技術の“非新規性”が油断を誘います。AiTMやHTML添付・ブランド偽装は目新しくありませんが、攻撃者はMFAを「無効化」するのではなく「正当な認証の代理実行（中継）」に収斂させています。守る側がメール文面や送信元の真偽に集中している間に、勝負はセッション層で決します。
• 日本のCISO/SOCにとっての本質は「セッション衛生」の運用化です。具体的には、Continuous Access Evaluation（CAE）や強制再認証、サインイン頻度/セッション寿命の短縮、デバイス紐付け型のトークン保護、フィッシング耐性MFA（FIDO2/パスキー、CBA）の標準化です。メール・リンク対策だけでは、今回のようなリアルタイム中継を止められません。
• メトリクス観点では、緊急対応の優先度と実効性が高く、技術的な新規性は中程度というバランスです。行動可能性が高い分、各社の差は「24〜72時間で何をどこまで変えられるか」に出ます。規模や国別偏重よりも、社内の高リスク業務フロー（財務承認、医療EHR、プロジェクト入札等）とIDの紐付けを棚卸しし、段階的に“セッション前提”のコントロールへ移行できるかが勝負どころです。

脅威シナリオと影響

以下は、公開情報と一般的なTTPから構成した仮説ベースのシナリオです。実際の個別事案では差異があり得ます。

• シナリオA：経理承認を狙うビジネスメール詐欺の前段

  1. 標的部門に「請求書再承認」通知風メールが到来（T1566.002 Spearphishing Link）
  2. HTMLリンク先でMicrosoftログイン画面を模したAiTMプロキシが中継（T1557 Adversary-in-the-Middle）
  3. ユーザーがMFAを完了、攻撃者はセッションCookie/トークンを取得（T1550.004 Use of Web Session Cookie、T1528 Steal Application Access Token）
  4. 正規アカウントとしてメール/Teams/SharePointにアクセス、支払指示の改ざんを実施（T1078 Valid Accounts、T1114 Email Collection、T1566.003 Spearphishing via Service）

• シナリオB：医療情報（EHR）と保険請求データの窃取

  1. 医療機関の職員ポータル通知を偽装（T1566.002）
  2. AiTMでセッション乗っ取り後、クラウドEHR/ファイル共有にアクセス（T1550.004、T1078）
  3. バッチ的にデータを収集して外部に送信（T1114、T1041 Exfiltration Over C2）

• シナリオC：ベンダー経由の連鎖侵害（サプライチェーン）

  1. MSP/会計事務所の担当者IDで顧客テナントに正規ログイン（T1078）
  2. 顧客側の承認フロー/共有ドライブから踏み台拡大（T1090 Proxy、T1021.001 Remote Services）

想定される影響は、財務送金の詐取、個人医療情報/機微データの大量流出、プロジェクト入札情報の奪取、さらにはランサムウェアの初期足掛かりの提供などです。今回の構図は国家/犯罪のいずれにも適用可能で、越境ホスティングや正規SaaS悪用が絡むため、テイクダウンや法執行の難度が上がる点も見逃せないです（本点は一般論としての見解で、当該事案の主体は未特定という前提の仮説です）。

MITRE ATT&CKの主なマッピング（仮説）

• 初期アクセス/配信: T1566.002 Spearphishing Link、T1204.001 User Execution
• 中間者化: T1557 Adversary-in-the-Middle
• セッション/トークン悪用: T1550.004 Use of Web Session Cookie、T1528 Steal Application Access Token
• 横展開/悪用: T1078 Valid Accounts、T1114 Email Collection、T1090 Proxy
• 送出: T1041 Exfiltration Over C2 Channel

セキュリティ担当者のアクション

時間軸とレイヤ別に、現実的に優先度の高いものから挙げます。

• 0〜24時間（即応）

  • 重要ユーザー（財務承認、経営層、特権ロール）の全セッション・リフレッシュトークンの一括失効を実行します。サインイン強制再認証を適用します。
  • メールゲートウェイで「.html」「.htm」添付の受信を原則ブロック/隔離します。例外運用は事前登録・監査に限定します。
  • 新規/若齢ドメイン（登録30日以内）およびブランドなりすましの可能性が高いドメインへのクリックをURLリライト/隔離ブラウジングにリダイレクトします。
  • SOCで「MFA成功後に短時間で初見IP/自治体外ASNからの多数リソースアクセス」「同一端末指紋不一致のセッション遷移」「異常なユーザーエージェント（ブラウザ→スクリプト系）への切替」をハント指示します。

• 24〜72時間（封じ込め）

  • CAE（Continuous Access Evaluation）とセッション有効期間の短縮、サインイン頻度の見直しを適用します。高リスクユーザーはデバイス準拠＋条件付きアクセスの組合せでトークンをデバイスに紐付けます。
  • フィッシング耐性MFA（FIDO2/パスキー、証明書ベース）の優先ロールアウト計画を確定します。まずは財務・医療・法務・特権アカウントです。
  • DMARC/DKIM/SPFの厳格化（p=reject）と外部送信ドメインの分離、なりすまし検知のチューニングを行います。正規SaaS経由の送信もブランド保護ポリシーで監視します。
  • メール本文・ランディングURLの変化に追随できるよう、コンテンツマッチから行動・セッション異常に軸足を移した検知（CASB/SSO/IdP/EDRの相関）に切り替えます。

• 7〜30日（恒久対策）

  • 重要業務フロー（支払・購買・入札・EHRアクセス）を棚卸しし、「メールリンクからの直接承認」を原則禁止とします。業務システム内からのディープリンクのみ許容します。
  • IdPでのトークン保護機能（デバイスバインド、Proof‑of‑Possession/トークン継続検証）が利用可能なら段階的に有効化します。不可の場合はセッション短縮＋高感度リスクベース認証で代替します。
  • ブラウザ分離（RB)の適用範囲を拡げ、未知/未分類サイト・新規登録ドメイン・URL短縮の展開先は隔離経由をデフォルトにします。
  • 取引先/委託先のIDガバナンス最低要件（フィッシング耐性MFA、セッション管理、DMARC p=reject）をサプライヤーセキュリティ条項に明文化します。
  • インシデントプレイブックに「MFA成功後のAiTM疑い対応」を新設し、トークン失効、条件付きアクセスの一時強化、影響評価（メール転送規則、OAuth同意、共有リンク権限）を標準手順化します。

• ハンティングのヒント（環境に応じて実装）

  • 直近72時間で「MFA成功」かつ「初見IP/ASN」かつ「短時間でメール・ファイル・Teams等の横断アクセス」を示すサインインを抽出します。
  • 同一ユーザーのセッション内で「ユーザーエージェントの急変（ブラウザ→ヘッドレス/スクリプト）」「言語/タイムゾーンの不整合」「都市レベルの“あり得ない移動”」がないかを突合します。
  • Exchange/SharePointでの外部共有リンクの大量生成、受信トレイルール追加（自動削除/転送）、OAuthアプリ同意の新規付与を横断確認します。

• ユーザー教育（短期集中の観点）

  • 「HTML添付＝原則開かない」「メールからのMicrosoft再認証は一度閉じてポータルから再ログイン」が合言葉です。
  • 「緊急・至急・24時間以内」はフィッシングの王道表現です。慌ててリンクを踏まない、が最強です。

最後に、今回の特徴は「技術の巧妙さ」よりも「運用の洗練」にあります。守る側も、メールやマルウェアの“前段”ではなく、ID・セッション・業務フローという“本丸”に防御資源を再配分するタイミングです。短期の痛みは伴いますが、セッション衛生の徹底こそが、次のスプリント型キャンペーンに対する最大の備えになります。

参考情報

• 二次報道（Microsoft発表の要旨を紹介）: The Hacker News — Microsoft Details Phishing Campaign