Microsoft 365フィッシング詐欺: MFAを回避する新たな脅威

新たな懸念材料として、Check Pointの研究者たちは、マルチファクター認証（MFA）を回避できる高度なフィッシングキャンペーンを特定しました。この悪意のあるキャンペーンは、500,000以上のユーザー、また多くのフォーチュン500企業が信頼するツールであるMicrosoftのDynamics 365 Customer Voiceを利用しています。

Dynamics 365の悪用

元々、即時の顧客フィードバックを収集し、それに基づいて行動するために使用されたDynamics 365 Customer Voiceは、サイバー犯罪者のツールとなりました。この信頼されたプラットフォームの性質を悪用し、攻撃者が説得力のあるフィッシングメールを作成し、偽リンクを巧妙に正当なリンクに統合します。TechRadarによれば、被害者は一見無害なCAPTCHAから始まる欺瞞の連鎖に誘導され、数分後にはログイン資格情報を収集されます。

数十万人がリスクにさらされる

このキャンペーンは広範囲に及びます。3,000以上のメールが350の組織にわたり、驚くべき100万の受信箱を標的にしました。攻撃の巧妙さは、その規模だけでなく、その精度にもあります。学術機関、文化団体、健康情報グループなどの業界リーダーが標的にされています。

手法の解明

「和解声明」や「開示書類」といった件名は、正当性の幻想を作り出します。このフィッシング手法はMFAコードさえも取得しますが、その正確な方法は不明のままです。Check Pointによれば、無防備なユーザーにとっての危険性は明らかです。

対策と対応

これらの脅威が急増する中でも、すべてが失われたわけではありません。Microsoftは複数のフィッシングページをブロックするなど、積極的に取り組んでいますが、企業界は引き続き警戒を怠ってはなりません。IT専門家からエンドユーザーに至るまで、フィッシングの手口についてデジタルリテラシーを更新し、慣れ親しんだプラットフォームからの予期しない通信に対しても懐疑的であるべきです。

行動への呼びかけ

サイバーセキュリティの状況は常に進化しています—これらの変化を理解し、堅牢なセキュリティ対策を実施することが重要です。高度なフィッシング試行を認識するためのトレーニングと、二次的な安全装置の導入は、組織の安全を維持するために重大な差を生む可能性があります。

要約すると、サイバー犯罪者がますます巧妙な方法で資格情報を収集し、セキュリティシステムを侵害する中、情報に通じ準備を整えておくことが、最善の防御手段です。