FBIからの最近の警告によると、サイバー犯罪者はMicrosoft 365アカウントへの不正アクセスを得るために、ユーザーフレンドリーなサービスをますます活用しています。同機関は、TelegramベースのサービスであるKali365を重大な脅威として強調しました。 # Kali365: フィッシング・アズ・ア・サービス Kali365は、サイバー犯罪者が正規のOAuthトークンをキャプチャし、Microsoft 365環境への広範なアクセスを許可するフィッシング・アズ・ア・サービス（PhaaS）プラットフォームです。FBIは、Kali365は2026年4月から活動しており、主にTelegram経由で配布されていると指摘しています。これにより、脅威アクターはユーザー認証情報を直接傍受することなく、Microsoft 365アクセス・トークンを取得し、多要素認証（MFA）をバイパスすることが可能になります。 # Kali365の仕組み Kali365を利用する攻撃者は、信頼できるクラウド生産性およびドキュメント共有サービスを装ったフィッシングメールを送信します。これらのメールには、被害者を正規のMicrosoft検証ページに誘導するコードと指示が含まれています。これらのページにコードを入力した無警戒なユーザーは、意図せず攻撃者のデバイスにアカウントへのアクセスを許可してしまいます。 取得したOAuthアクセス・トークンとリフレッシュ・トークンにより、ハッカーはパスワードや追加の認証なしに、Outlook、Teams、OneDriveなどのMicrosoft 365サービスにアクセスできるようになります。 # 業界からの警告 Proofpoint、IBM、Huntressなどのサイバーセキュリティ企業は、Kali365および類似のPhaaSプラットフォームを利用した攻撃の増加について警告を発しています。Arctic Wolfは、4月にKali365によって可能になった大規模な攻撃キャンペーンに対処したと報告しており、攻撃者は被害者を欺いて正規のMicrosoftデバイスログインフローを通じて脅威アクター主導のセッションを承認させていました。 Arctic Wolfはさらに、キャプチャされたOAuthアクセス・トークンとリフレッシュ・トークンにより、即時のメールボックスアクセスと侵害後の活動が可能になったと詳述しています。一部のケースでは、セキュリティ通知を抑制するために悪意のある受信トレイルールが設定され、検知までの時間を延長し、ユーザーの認識を低下させていました。 # Kali365の価格と機能 Arctic Wolfの研究者はKali365システムにアクセスし、30日間250ドルから365日間2,000ドルまでの段階的な価格モデルで運営されていることを発見しました。このプラットフォームは、サイバー犯罪者がAdobe、DocuSign、SharePointなどの有名なサービスを使用してブランド化されたフィッシング誘引を生成することを可能にし、複数の言語、レイアウト、デザインテーマで誘引を提供しています。Kali365はHTMLフィッシングページとフィッシングメールの両方を生成し、ユーザー向けにダウンロード可能なデスクトップバージョンも提供しています。 # サイバー犯罪のプロフェッショナル化 サイバーセキュリティ専門家は、Kali365がサイバー犯罪エコシステムのプロフェッショナル化と分散化の進展を例示していると強調しています。スキルが低いアクターでも、これらの「アズ・ア・サービス」プラットフォームを活用することで、高度な攻撃を開始できるようになっています。この傾向は、Microsoftが最近、マルウェア配信のために正規のサービスを悪用していた別の「アズ・ア・サービス」サイバー犯罪ツールを無力化したことによってさらに浮き彫りになりました。