🕵️認証後のセッション窃取(AiTM)
パスワードを盗む代わりに、この手口は被害者が二要素認証コードを入力した直後にセッション を乗っ取ります——攻撃者は被害者と本物のサービスの間に見えない中継者として入り込みます。 結果として、二要素認証は確かに行われたにもかかわらず、何の役にも立ちません。2025年10月 だけで、Microsoftはこの種のキット1つ(「Tycoon 2FA」)に関連する悪意あるメールを1,300万件 以上ブロックしました。世界中のMicrosoft 365アカウントを標的にしたものです。
Microsoft Defender for Office 365、2025年10月☎️電話コールバック型フィッシング(TOAD)
リンクも添付ファイルもないメール——怪しい請求書やサブスクリプションの確認を口実に、 折り返すべき番号だけが記載されています。スキャンすべきURLもファイルもないため、従来型の 自動フィルターは何も検知しません——詐欺は完全に電話上で展開され、偽の担当者がリモート アクセスのインストールや認証情報の提供へと被害者を誘導します。調査会社Trustwaveは 2024年7月から9月にかけて、こうしたキャンペーンが140%増加したことを計測し、Microsoft、 Norton、PayPal、DocuSignが最も多くなりすまされたブランドに挙がっています。
Trustwave、2024年〜2025年共通点:注意力ではなく自動処理を回避する
これら2つの手口は、従来型の技術的な脆弱性を突いているわけではありません——自動検知 ツールが分析できる要素(リンク、添付ファイル)そのものを取り除くことで、検知ツールの 構造的な限界を突いているのです。残るのは、正当なものに見えるよう作り込まれた人間との やり取り——本物と見分けがつかないログインページ、あるいは電話口の安心感を与える声——です。 これはまさに、スキャンするのではなく見抜くことを学習すべき種類のパターンです。
よくある質問
二要素認証はフィッシングに対してまだ有効ですか?
単純なパスワード窃取に対しては依然として有効ですが、「アドバーサリー・イン・ザ・ ミドル」攻撃には無力です。攻撃者は被害者がコードを入力した直後にセッションを乗っ取る ため、二要素認証はすでに完了しているにもかかわらず何の意味もなくなります。
電話コールバック型フィッシング(TOAD)とは何ですか?
リンクも添付ファイルもないメールで、請求書や契約確認など信憑性のある理由で電話を かけ直すよう求める番号だけが記載されています。電話がつながると、偽の担当者が誘導し、 ソフトのインストールや認証情報の提供をさせます。
なぜこれらの手口は自動フィルターをすり抜けるのですか?
多くの場合、スキャン対象となる不審なリンクも悪意ある添付ファイルも含まれていない ためです。詐欺は電話でのやり取りや、本物を完璧に模倣したページの中で完結します。