Packet Pilot X (Twitter)
2026-01-23

マイクロソフトがエネルギー企業を狙った多段階AitMフィッシングとBEC攻撃を警告

マイクロソフトは、エネルギーセクターの複数の組織を狙った多段階の中間者攻撃(AitM)フィッシングおよびビジネスメール詐欺(BEC)キャンペーンについて警告しました。この攻撃は、SharePointファイル共有サービスを悪用してフィッシングペイロードを配信し、受信トレイのルールを作成して持続性を維持し、ユーザーの認識を回避する手法を用いています。攻撃者は、被害者の内部の信頼されたアイデンティティを利用して、大規模なフィッシングを実施し、攻撃の範囲を広げています。マイクロソフトは、パスワードリセットだけではこの脅威を解決できないと指摘し、影響を受けた組織は、アクティブなセッションクッキーを無効にし、攻撃者が作成した受信トレイルールを削除する必要があると述べています。

メトリクス

このニュースのスケール度合い

5.0 /10

インパクト

7.5 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

9.0 /10

このニュースで行動が起きる/起こすべき度合い

9.0 /10

主なポイント

  • マイクロソフトは、エネルギー企業を狙った多段階のAitMフィッシングとBEC攻撃を警告しています。
  • 攻撃者は、信頼された組織のメールアドレスを悪用し、フィッシングリンクを送信しています。

社会的影響

  • ! この攻撃は、エネルギーセクターの企業に対する信頼性を損なう可能性があります。
  • ! フィッシング攻撃の増加は、企業のセキュリティ対策の強化を促す要因となります。

編集長の意見

この攻撃は、現代のサイバーセキュリティにおける新たな脅威の一例であり、特に信頼されたサービスを悪用する手法が進化していることを示しています。攻撃者は、企業が日常的に使用するツールを利用することで、ユーザーの警戒心を低下させ、フィッシング攻撃を成功させる可能性を高めています。特に、AitM攻撃は、従来のフィッシング手法とは異なり、攻撃者が被害者のセッションを乗っ取ることで、より高度な攻撃を実現しています。これにより、企業は従来のセキュリティ対策だけでは不十分であることを認識する必要があります。今後、企業はフィッシング対策として、フィッシング耐性のある多要素認証(MFA)を導入し、条件付きアクセスポリシーを実施することが求められます。また、攻撃者が作成した受信トレイルールを削除し、アクティブなセッションクッキーを無効にすることも重要です。さらに、企業は、フィッシング攻撃を監視し、スキャンするためのソリューションを導入することで、リスクを軽減することができます。これらの対策を講じることで、企業はサイバー攻撃に対する防御力を高め、被害を未然に防ぐことができるでしょう。

解説

内部信頼を逆手に取るAiTM×BECの新段階──SharePoint悪用と受信トレイルールで潜伏、パスワード変更では止まらない

今日の深掘りポイント

  • フィッシング耐性のないMFAはAiTMで突破され、盗まれたセッションクッキーが長く効いてしまうのが本質的なリスクです。パスワード変更だけでは阻止できません。
  • 攻撃は「SharePointからの共有」という日常業務の“正当な文脈”に寄り添って侵入します。社内・取引先への二次拡散でスケールさせる設計が見えます。
  • 受信トレイルールで痕跡と警告を隠蔽しつつ、内部からBEC(送金詐欺)を仕掛ける王道パターンです。監査と強制削除の即時実施が優先課題です。
  • エネルギー企業の事業プロセス(購買・保守・需給調整・トレーディング)に密着した攻撃面です。OTに直接触れなくても、決済と信頼の連鎖を揺らします。
  • テナント横断の対抗策は「セッション無効化の標準手順」「フィッシング耐性MFA(FIDO2等)」と「SharePoint外部共有の境界整備」をセットで回すことです。

はじめに

マイクロソフトが、エネルギー企業を狙った多段階の中間者(AiTM)フィッシングとBECの連携攻撃を警告しています。ポイントは、攻撃者がSharePointのファイル共有という“日常の業務導線”を悪用し、クリック先で資格情報ではなくセッションクッキーを奪取、受信トレイルールで潜伏しながら被害者の「社内から」さらにフィッシングとBECを仕掛けることです。報道では600通超のフィッシング送信が観測された事例も示され、初期侵入を核にした二次・三次拡散の意図が読み取れます。同時に「パスワードリセットでは片付かない」現場の難題が露呈しています。

この種の攻撃は、短期的には支払い逸脱や在庫・保守の混乱を、長期的には取引先との信頼毀損や市場の安定性への波及を引き起こします。OTに直接触れずとも、ITと業務の接点を突く“静かな破壊”が狙いどころです。

参考: The Hacker Newsの報道(二次情報)

深掘り詳細

事実整理:何が起き、どこが痛点か

  • 攻撃フロー(概略)
    • SharePointからの正規風共有リンクを使ってフィッシング・ペイロードを配布。
    • クリック先でAiTM(中間者)によりMFAを含むログインを中継、セッションクッキーを奪取。
    • 侵害アカウントの受信トレイルールを作成し、警告メールを隠す・自動転送するなどで潜伏と横展開の土台を形成。
    • 被害者の信頼された送信元(社内・取引先)として大規模な二次フィッシング/BECを送信。
  • パスワード変更だけでは不十分
    • 盗まれたセッションクッキーや更新トークンが有効な限り、攻撃者は再ログインなしでアクセスを継続可能。
    • 必要なのは「アクティブセッション(リフレッシュトークン含む)の無効化」と「悪性受信トレイルールの削除」です。
  • スケールする仕掛け
    • SharePointという正規サービスを踏み台にし、ドメイン信頼を利用。
    • 侵害後は「内部からのメール」という最強の“説得力”で一気に送信量を拡大(600通超の送信例が伝えられています)[出典: 上記リンク]。

インサイト:なぜ効くのか、どこで折るのか

  • 日常業務の文脈に寄り添う攻撃
    • エネルギー企業では、見積・発注・図面・保守手順・市場関連文書など、SharePointリンクの共有は日常です。業務の“正しさ”がセキュリティの“正しさ”を上書きする瞬間を突いています。
  • AiTMは「MFAの壁」を論理的に迂回する
    • 認証の一回性を中継してクッキーを奪えば、以後はMFA不要でなりすましが可能です。MFAの“有無”ではなく、“耐フィッシング性(FIDO2/WebAuthnや証明書ベースなど)”にアップグレードできているかが分水嶺です。
  • 受信トレイルールは「見えない化」と「持続化」の両輪
    • 管理者通知・送金フローの承認メール・異常検知のアラートをサイレントで別フォルダに移すだけで、発見は数日遅れます。BECの成功率を押し上げる実務的なテクニックです。
  • 施策は三位一体で初めて効く
    • セッション無効化(今起きている火消し)
    • フィッシング耐性MFA+条件付きアクセス(再発防止の基礎)
    • SharePoint外部共有とメール転送のガバナンス(攻撃面の縮小) この三つが揃わない限り、どこかが再び破られます。

脅威シナリオと影響

以下は本件の報道に基づく事実と、実務上十分あり得るシナリオを組み合わせた仮説です。具体的な戦術のマッピングはMITRE ATT&CK(Enterprise)に沿って整理します。

  • シナリオA:購買・保守のBEC(送金先変更)

    • 初期侵入:SharePointリンク経由のフィッシング(T1566.002 Spearphishing Link、T1204.001 User Execution: Malicious Link)
    • 資格情報・セッション奪取:セッションクッキー窃取(T1539 Steal Web Session Cookie)
    • 防御回避:Webセッションクッキーの悪用(T1550.004 Use Alternate Authentication Material: Web Session Cookie)
    • 永続化/収集:受信トレイルールによるメール監視・隠蔽(T1114 Email Collection、T1114.003 Email Forwarding Rule)
    • 横展開:正規アカウントからの社内・取引先向け再フィッシング(T1078 Valid Accountsを介したメール送信)
    • 影響:請求書・送金指示の差し替え、ベンダー銀行口座変更の偽装、結果としての資金流出と調達遅延

  • シナリオB:需給計画やトレーディングへの間接的撹乱

    • 初期は同様の手口で企業メールに常駐。
    • 市場関連の承認メールやスケジューリング連絡を秘匿・遅延させ、意思決定を妨害。
    • 影響:ポジション確定やバランシングに遅れ、ペナルティや機会損失、取引先との信頼低下に波及。

  • セクター特有の波及

    • OT直接侵害ではなくとも、保守ベンダーや物流、金融機関との“人と書類”のサプライチェーンに浸潤します。被害は単独企業の現金流出に留まらず、調達・保守の停滞や市場の不確実性へと伝播しやすいです。

注意:上記のMITRE整理は、公開情報から外挿した一般化であり、実際のインシデントごとに差異があり得ます。

セキュリティ担当者のアクション

優先順位順に、実務で“今すぐ回せること”に絞って提案します。

  • 直ちにやる(インシデント前提の健全性確認)

    • 受信トレイルールの強制監査と一括削除運用の準備
      • 件名/差出人に「支払い」「請求」「承認」「外部転送」などを条件に“削除・既読・移動・外部転送”する新規ルールを網羅的に洗い出し、正当性の審査フローを設定します。
    • セッション無効化の手順を標準化
      • 侵害疑いアカウントに対し「サインアウトの強制」「更新トークン無効化」「アクティブセッション失効」をまとめて実行できるSOPを、24/7で回せるよう整備します。パスワード変更だけで完了にしない運用を徹底します。
    • 外部自動転送の抑止
      • テナントレベルでの外部自動転送禁止または承認制。既存例外の棚卸しを即日で。

  • 1〜2週間で固める(再発防止の地ならし)

    • フィッシング耐性MFAの段階的強制
      • 役員・財務・購買・保守調達・トレーディング部門から順にFIDO2/証明書ベースへ移行し、SMS/音声は廃止方向に。番号マッチング等の強化は「過渡期の策」として位置付け、AiTMへの耐性を最終目標にします。
    • 条件付きアクセスの見直し
      • 機密アプリは“準拠デバイス必須”“高リスク判定時のアクセス遮断”“サインイン頻度の短縮(重要アプリのみ)”を適用。継続的アクセス評価(CAE)やトークン条件の厳格化を活用し、クッキー悪用の滞留時間を短縮します。
    • SharePoint/OneDriveの外部共有ガバナンス
      • “Anyoneリンク”を原則禁止、取引先ドメインの許可リスト化、リンク有効期限とダウンロード制限の標準設定。共有招待の監査ダッシュボードを作り、異常値(時間外・大量招待・未知ドメイン)にアラートを掛けます。
    • メールセキュリティの検知強化
      • 社内アカウントからの大量送信・短時間での多宛先送信・新規端末/新規IPからの送信急増を検知。自動で送信制限・隔離に切り替えるレート制御を併用します。

  • 1カ月のスプリントで進める(業務面の穴を塞ぐ)

    • BECの業務手順対策
      • 送金先変更・高額支払い・緊急名目の支払いは「電話の折り返し確認」を必須化。メールのみでの口座変更を不可とし、経理システムと連動した承認ワークフローに“既存ベンダーの口座変更時は強制的に第二承認者を追加”などのルールを埋め込みます。
    • レジリエンス訓練
      • 「社内アカウントからのSharePoint共有→AiTM→受信トレイルール→BEC」を想定した机上演習を、CFO・購買・内部監査を含めて実施。技術対応に加えて“支払保留の意思決定ライン”を事前に合意しておきます。
    • サプライヤ周知
      • 主要ベンダー・金融機関に対し、外部転送禁止や口座変更時の二要素確認など相互運用の原則を通知。相互に外部共有の許可ドメインを限定する取り決めを作ります。

  • ハンティング視点(継続運用)

    • 直近で作成/変更された受信トレイルールの定期差分監視(特に“削除/既読/移動/外部転送”アクション)。
    • “SharePoint共有直後に初回サインイン→短時間で大量送信”の連続パターン。
    • 異常な外部共有リンクの発行(週次ベースライン比の突出)。
    • 管理者通知やDLPアラートが特定フォルダに吸い込まれる挙動。

最後に、このニュースが示すメッセージは明快です。守るべきは“パスワード”ではなく“セッション”であり、止めるべきは“クリック”ではなく“文脈の悪用”です。MFAの次の一段(フィッシング耐性)、セッション失効の実務、共有ガバナンスの三点を、攻撃者より速く組み合わせることが、今の現場で最も効く守りになります。読者のみなさんの組織で、明日の朝会から動かせる項目を、ひとつでも採り入れていただければ嬉しいです。

参考情報

背景情報

  • i AitM攻撃は、攻撃者が被害者のセッションを乗っ取り、信頼されたサービスを利用してフィッシングを行う手法です。この手法は、企業環境で広く使用されているSharePointやOneDriveなどのサービスを悪用し、ユーザーの警戒心を低下させることが特徴です。
  • i BEC攻撃は、ビジネスメールを悪用して金銭的利益を得る詐欺手法であり、攻撃者は通常、信頼できる送信者を装ってフィッシングメールを送信します。これにより、受信者は攻撃者の意図に気づかず、情報を漏洩する危険性が高まります。
Packet News 一覧へ戻る