マイクロソフトは7月中旬、大規模なフィッシング攻撃が展開されているとして注意を呼びかけました。対象は業務用クラウドソフト「Microsoft 365(旧称Office 365)」を利用する企業や組織です。2021年9月以降、1万を超える企業や組織に対して攻撃が行われています。

この攻撃の特徴は、大規模なことに加えてた多要素認証（MFA）を破ることです。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取ります。

今回のフィッシング詐欺の最終的な目的はビジネスメール詐欺です。ビジネスメール詐欺とは取引相手に成りすまして金銭を振り込ませる詐欺です。Microsoft 365に不正にログインした攻撃者はメールサービスにアクセスし、正規ユーザーがやり取りしているメールを調べ上げる、そして支払いなどに関するメールを見つけるとそのやり取りに割り込み、偽の請求書などを送りつけます。マイクロソフトの調査によると、フィッシング攻撃による不正ログインからわずか5分後にビジネスメール詐欺のメールを送り始めたケースがあったといいます。また、一つのメールアカウントから複数のビジネスメール詐欺を同時に試みたケースもありました。
今回紹介したAiTMフィッシングはワンタイムパスワードによる多要素認証を破り、ビジネスメール詐欺に繋がる恐ろしい攻撃です。ただ、ワンタイムパスワードによる多要素認証が無意味なわけではなく、パスワードだけのユーザー認証よりも安全性は高いと言われています。パスワードのみの認証はいつ破られてもおかしくありません。