Microsoftが26カ国35,000ユーザー対象の大規模フィッシング攻撃を公開

概要

Microsoftは2026年4月14～16日に実施された大規模フィッシング攻撃キャンペーンの詳細を公表しました。26カ国の13,000以上の組織の35,000ユーザーが標的とされ、米国が92%を占めています。医療・生命科学（19%）、金融サービス（18%）などが主な被害業種です。攻撃は企業内通知に見せかけた「行為規範審査」という名目のメールを使用し、正規のメール配信サービスから送信されました。PDFファイル内のリンククリックから複数のCAPTCHA認証を経て、最終的にはAiTM（中間者攻撃）フィッシングによりMicrosoft認証情報とトークンをリアルタイムで盗取。多要素認証（MFA）を回避可能です。対策として、疑わしいメール検証やMFA導入継続が推奨されます。

元記事（The Hacker News）