Microsoftは、3万5千人超を標的とした大規模なAiTM(Adversary-in-the-Middle)型フィッシング攻撃を確認した。今回の攻撃では、Microsoftのログイン画面に似せた認証ページを使い、多要素認証(MFA)を突破して認証トークンを窃取する手法が用いられている。

また、World Password Day 2026では、パスワード依存からパスキーやパスワードレス認証への移行が加速している現状も示された。さらにCISAは、Palo Alto NetworksやIvanti製品の既知悪用脆弱性を新たに追加している。

本稿では、最新の認証攻撃と脆弱性動向から、企業が警戒すべきポイントを整理する。

連載のこれまでの回はこちらを参照

  • Microsoftのログイン画面を装うAiTM型フィッシング攻撃に警戒が必要だ 出典:MIcrosoft

    Microsoftのログイン画面を装うAiTM型フィッシング攻撃に警戒が必要だ 出典:MIcrosoft

5/4~5/10 最新サイバーセキュリティ情報

近年のサイバー攻撃は、単純なマルウェア配布やパスワード窃取から、心理操作と正規サービス悪用を組み合わせた高度な攻撃へ進化している。とくに認証情報やセッショントークンを狙う攻撃は急増しており、多要素認証を導入していても安全とは言い切れない状況になりつつある。

本稿では、Microsoftが報告したAiTM型フィッシング攻撃を中心に、認証基盤を巡る最新動向を整理する。また、World Password Day 2026で示された「脱パスワード」への流れや、CISAが警告した既知悪用脆弱性についても取り上げ、企業が今後取るべき防御戦略を解説する。

それでは、今週注目すべきサイバー攻撃動向を詳しく見ていこう。

Microsoft、3万5000人超を標的としたAiTM攻撃を警告

Microsoftは5月4日(米国時間)大規模なフィッシング攻撃キャンペーンに関する分析結果を公表した。この攻撃では、企業の内部通達を装ったメールを使い、最終的に認証トークンを窃取する「AiTM(Adversary-in-the-Middle)」型攻撃へ誘導していた(参考「Breaking the code: Multi-stage ‘code of conduct’ phishing campaign leads to AiTM token compromise | Microsoft Security Blog」)。

MFA突破を狙うAiTM攻撃

今回の攻撃の特徴は、利用者と正規サービスの間に攻撃者が入り込み、認証セッションを中継する点にある。利用者が通常どおりログイン操作を行っても、その過程で認証トークンが窃取される可能性がある。

このため、多要素認証(MFA)を導入していても突破されるリスクがある。従来の「パスワード漏えい対策」だけでは十分とは言えなくなっている。

26カ国・1万3000組織以上が標的に

観測されたキャンペーンは2026年4月14日から16日にかけて実施され、26カ国、1万3,000以上の組織に所属する3万5,000人超が標的となった。米国ユーザーが約92%を占める。

業種別では医療・ライフサイエンス、金融サービス、IT・ソフトウェアなど幅広い分野が対象となっており、特定業界に限定されない攻撃であることが分かる。

“社内調査”を装う巧妙なメール

攻撃メールでは、「Internal Regulatory COC」(社内規制行動規範)や「Workforce Communications」(従業員向け連絡)など、企業内部の正式通知を装った表示名が使用された。

件名には「コンプライアンス違反に関する社内案件が登録された」といった内容が含まれ、受信者に心理的な圧力を与える構成になっている。

さらに、「認可済みチャネルから送信された」「リンクは安全性確認済み」といった文言や、暗号化通信サービスを示す表示を使うことで、正規メールであるかのように見せかけていた。

正規サービス悪用で検知回避

Microsoftによると、攻撃メールは正規のメール配信サービスを利用して送信されていた。正規インフラを悪用することで、メール認証を通過しやすくなり、スパムフィルターやセキュリティゲートウェイによる検知回避を狙っていたとみられる。

Microsoftログイン画面に似せて誘導

攻撃では、PDF添付やCAPTCHAを組み合わせた多段階誘導が用いられた。利用者に「正式な認証手続き」と思わせることで、Microsoftのログイン画面に似せたページへ誘導し、認証情報やセッショントークンを窃取する。

AiTM攻撃は、単純なパスワード窃取とは異なり、認証プロセスそのものを悪用する点が特徴だ。

生成AIで日本企業も標的に

今回の主な標的は米国だったが、同様の攻撃が日本企業へ向けられない理由はない。

近年は生成AIの普及によって、日本語による自然なフィッシングメールの作成も容易になっている。従来は不自然な日本語が判別材料となっていたが、その前提は崩れつつある。

Microsoftは、パスワードレス認証やフィッシング耐性の高いMFA導入に加え、ユーザー教育、メール防御、ネットワーク保護など多層的な対策を推奨している。

推奨される対策と防御

Microsoftは、このような脅威に対抗するため、複数の対策を組み合わせることを推奨している。まず、Exchange Online ProtectionやMicrosoft Defender for Office 365の設定を確認し、基本的なメール防御を強化することが重要だ。

ユーザー教育やフィッシング訓練の実施により、人為的ミスのリスクを低減する必要がある。Zero-hour Auto Purge (ZAP)機能の有効化により、配信後のメールも隔離可能となる。加えて、Safe LinksやSafe Attachmentsの有効化、ネットワーク保護の導入、SmartScreen対応ブラウザーの利用など、多層的な防御が求められる。

認証面では、パスワードレス認証やフィッシング耐性の高い多要素認証の導入が有効とされる。条件付きアクセスや自動攻撃遮断機能を組み合わせることで、被害の拡大を抑制できる。

パスワードは限界?進む“脱パスワード”

World Password Day 2026が示す認証変化

サイバーセキュリティの専門家であるKen Underhill氏は5月7日(現地時間)、eSecurity Planetにおいて、世界パスワードデー「World Password Day 2026」を契機に、従来型のパスワード対策だけでは現代のサイバー脅威に対応できなくなっている現状を報じた。

これまでWorld Password Dayでは、強固なパスワード作成や多要素認証(MFA: Multi-Factor Authentication)導入が推奨されてきた。しかし現在は、パスキーや生体認証を利用したパスワードレス認証への移行が進みつつある。

セキュリティ投資が増えても被害は続く

スイスのProtonが公表した2026年版中小企業向けサイバーセキュリティ報告書によると、世界6市場の中小企業経営者3000人を対象にした調査では、92%の企業がサイバーセキュリティ対策へ積極的に投資している一方、過去1年間で4社に1社がサイバー攻撃や情報漏えいを経験した。

調査結果は、「認識不足」が問題ではないことを示している。OneLoginの製品担当副社長Stuart Sharp氏は、「最も効果的なパスワードは、パスワードが存在しない状態かもしれない」と指摘している。

また、Proton Pass責任者のSon Nguyen Kim氏は、「問題は認識不足や準備不足ではなく、安全なツールを継続的に運用し、脅威を適切に検知・阻止する難しさにある」と述べた。

人的ミスを前提にした認証へ

企業ではパスワード管理ツール導入が進んでいるものの、認証情報の共有や使い回しなど、運用面の問題は依然として残っている。

このため近年は、「人はミスをする」という前提で認証基盤を設計する考え方が重視されている。パスキーや生体認証は、利便性と安全性の両立を目指す技術として注目されている。

パスワードレス化は段階的に進行

もっとも、多くの企業では旧式システムや従来型認証も残っており、完全なパスワードレス化には時間がかかる見通しだ。

今後しばらくは、パスワード、多要素認証、生体認証、パスキーが混在する環境が続くとみられる。

広がるパスワードレス認証とパスキー活用

こうした状況を受け、企業では生体認証やパスキーを活用したパスワードレス認証への移行が加速している。パスキーでは、利用者がパスワードを記憶する代わりに、端末側の認証情報や指紋認証、顔認証などを用いて本人確認を行う。これにより、フィッシング詐欺や認証情報窃取、パスワード再利用のリスク低減が期待されている。

また、認証処理が利用者体験の一部として自然に組み込まれる点も特徴とされる。従来のように頻繁なパスワード入力を求めるのではなく、信頼済み端末と生体認証を組み合わせることで、認証をバックグラウンド化する考え方が広がっている。

「強いパスワード」から「パスワードを減らす」時代へ

World Password Dayの役割も変化しつつある。単に「より強いパスワードを作る日」ではなく、パスワード依存そのものを減らし、人間の自然な行動の中でも安全性を維持できる認証基盤を構築する必要性を訴える日へといちづけが変わり始めている。

記事は、現代のサイバーセキュリティに求められているのは、利用者に過度な負担を強いる対策ではなく、実用性と安全性を両立し、人為的ミスが発生しても機能し続ける認証戦略であると結論付けている。

Palo Alto NetworksとIvanti製品に新たな既知悪用脆弱性

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、5月4日~5月10日に件の脆弱性をKnown Exploited Vulnerabilities Catalogへ追加した。

CISAが追加したエクスプロイトは次のとおり。

対象には、Palo Alto Networks PAN-OSやIvanti Endpoint Manager Mobileなどが含まれる。

これらの脆弱性は実際の悪用が確認されており、対象製品を利用している組織には迅速なアップデート適用が求められる。

特にインターネット公開機器やモバイル管理基盤は攻撃対象になりやすく、CISAやベンダーのアドバイザリーを継続的に確認する必要がある。

まとめ

今回のAiTM攻撃は、「MFAを導入すれば安全」とは言い切れない現実を示した。攻撃者は正規サービスや心理的誘導を組み合わせ、認証そのものを狙う方向へ進化している。

企業には、パスキーやフィッシング耐性MFAの導入に加え、利用者教育や迅速な脆弱性対応を含む多層防御が求められる。特に生成AI時代では、日本語による巧妙な攻撃も増えると考えられ、国内企業も警戒を強める必要がある。

参考