ニュース詐欺

フィッシングキット「Kali365」は多要素認証(MFA)を回避し、Microsoftのログイン情報を盗み出す

ピーター・アルンツ| 2026年5月27日
大規模なフィッシング

連邦捜査局(FBI)が新しいフィッシングキットに関する専用の注意喚起を発表する際は、注目に値する。

同機関は現在、「Kali365」について警告を発している。これは、技術力の低い攻撃者であっても、パスワードではなくアクセストークンを盗むことでMicrosoft 365アカウントを乗っ取ることができるようにする、フィッシング・アズ・ア・サービス(PhaaS)プラットフォームである。

初期の報道では組織を標的とした攻撃に焦点が当てられていますが、その根底にある手口は、本物のMicrosoftウェブサイト上で短いコードを入力するよう騙された個々のMicrosoft 365ユーザーに対しても同様に容易に機能します。つまり、これは企業やIT部門だけの問題ではありません。Outlook、OneDrive、またはMicrosoft 365のサブスクリプションを利用している人なら誰でも影響を受ける可能性があります。

このキットを利用するサイバー犯罪者にとって、3つの明確な利点があります:

  • アクセストークンを盗み出すことで多要素認証(MFA)を迂回するため、トークンが侵害されてしまえば、追加のコードやアプリも役に立たなくなります。
  • Kali365は継続的なアクセス権を提供します。攻撃者は、盗み出したリフレッシュトークンが有効である限り、繰り返しログインすることなく、Outlook、Teams、OneDriveを使い続けることができます。
  • 技術的なスキルはほとんど必要ありません。サイバー犯罪者はKali365に加入するだけで、すぐに大規模なトークン窃取キャンペーンを実行することができます。

その攻撃はどのようなものですか?

被害者は、ドキュメント共有のTeams 、クラウドサービスやコラボレーションツールから送信されたように見えるフィッシングメッセージを受け取ります。メッセージには短い「デバイスコード」と、「Microsoftの認証ページにアクセスし、このコードを入力してドキュメントを表示してください」といった指示が含まれています。

詐欺か、それとも本物か? Scam Guardが見極めます。

多くのフィッシングメールとは異なり、このメールはデバイスのサインインフローに使用される本物のMicrosoftのURLに誘導します。ユーザーにとって、そのページは見覚えがあり、完全に正規のものに見えるため、疑念を抱きにくくなります。

被害者はその後、Microsoftの標準的なサインイン画面や同意画面が表示されるため、単なる通常のセキュリティチェックを行っているだけだと誤解してしまう可能性があります。偽のページが表示されることはなく、不審なフォームにパスワードを入力することもなく、場合によっては自組織のブランドロゴが表示されることさえあります。

しかし、彼らが気づいていないのは、攻撃者にアクセス権を与えてしまったということだ。

被害者がリクエストを承認すると、攻撃者のデバイスには、被害者の Microsoft 365 アカウントに関連付けられたOAuthアクセストークンとリフレッシュトークンが送信されます。これらのトークンは、Microsoft がユーザーがすでにログイン済みであることを「記憶」するために使用するものであり、これを利用すれば、パスワードを再入力することなく Outlook、OneDrive、Teams、およびその他の Microsoft サービスにアクセスすることができます。

有効なリフレッシュトークンがあれば、攻撃者はトークンが失効または無効化されるまで長期にわたってアクセス権を維持することができ、その間、通常のアカウント活動に紛れ込むことがよくあります。

そのアクセスにより、サイバー犯罪者は以下のことが可能になります:

  • Outlookのメール(パスワード再設定のメッセージを含む)を読む
  • OneDrive または SharePoint に保存されているファイルにアクセスする
  • 被害者のアカウントから、同僚、顧客、友人、または家族にフィッシングメールを送信する

身を守る方法

Outlookに侵入すると、攻撃者はメッセージを閲覧できるだけでなく、あなたのアドレスから本物そっくりの新しいメッセージを送信し、あなたの身元を悪用して他のアカウントや連絡先を乗っ取ることが可能になります。

これを避けるためのヒントをいくつかご紹介します:

  • メールやメッセージで指示されたからといって、Microsoftのログインページでコードを入力してはいけません。ご自身のデバイスで自らサインインを開始した場合にのみ、コードを入力してください。
  • 落ち着いて指示をよく読んでください。ログイン承認を注意深く読まずに急いで処理すると、大きな損失を招く恐れがあります。
  • 予期しないドキュメントの共有、Teams 、またはログイン要求については、たとえ正規のMicrosoftのページが使用されていたとしても、疑ってかかるようにしてください。
  • https://account.microsoft.com/devices/ で、ご自身のアカウントにログインしているデバイスを確認してください。見覚えのないデバイスやログイン履歴がある場合は、それらを削除し、Microsoft アカウントのパスワードを変更して、セキュリティ設定を確認してください。

プロのアドバイス:Malwarebytes Guardを使えば、そのメッセージが詐欺かどうかを見極めるのに役立ちます。

正直なところ、シークレットウィンドウには限界があります。

情報漏洩、ダークウェブでの取引、クレジットカード詐欺。Malwarebytes Identity Theft これらすべてを監視し、迅速に警告を発し、さらに個人情報盗難保険も付帯しています。 

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

ニュース
テーブルの上の電話

ある企業は、スマートフォンのマイクで会話を盗聴できると自慢していた。しかし、実際にはできなかった。

5月27, 2026

コックス・メディアは、ユーザーの端末を通じて情報を収集し、その情報をターゲティング広告に活用できると主張していたが、実際にはそうではなかった。

Privacy
LinkedIn

偽LinkedIn Adobeの脆弱性を悪用し、被害者を追跡している

5月27, 2026

フィッシャーは、Adobe Targetを悪用して被害者を追跡し、LinkedIn リダイレクトさせながら、LinkedIn 盗み出しています。

バグ
ClickFixはWindows模倣している

大規模なClickFixマルウェア攻撃により、700以上の教育・テクノロジー系ウェブサイトが乗っ取られる

5月26, 2026

Hackers 、Ghost CMSのウェブサイトの脆弱性を悪用Hackers 、偽のCloudflare認証ページを表示させて、ユーザーに自身のPCを感染させるよう仕向Hackers 。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺