Microsoftは、行動規範をテーマにした誘い文句と正規のメールサービスを組み合わせて、ユーザーを攻撃者が管理するドメインに誘導し、認証トークンを盗む大規模な認証情報窃取キャンペーンの詳細を明らかにしました。 2026年4月14日から16日の間に観測されたこの多段階キャンペーンは、26カ国にわたる13,000以上の組織の35,000人以上のユーザーを標的とし、そのうち92%が米国にいました。フィッシングメールの大部分は、ヘルスケアおよびライフサイエンス（19%）、金融サービス（18%）、専門サービス（11%）、テクノロジーおよびソフトウェア（11%）のセクターを標的としていました。 「このキャンペーンの誘い文句は、構造化されたレイアウトと先制的な真正性表明を備えた洗練されたエンタープライズスタイルのHTMLテンプレートを使用しており、典型的なフィッシングメールよりも信頼性が高く、正規の社内通信としての妥当性を高めていました」と、**Microsoft Defender** Security Research TeamおよびMicrosoft Threat Intelligenceは述べています[出典](https://www.microsoft.com/en-us/security/blog/2026/05/04/breaking-the-code-multi-stage-code-of-conduct-phishing-campaign-leads-to-aitm-token-compromise/)。 「メッセージには非難が含まれ、期限付きのアクションプロンプトが繰り返されたため、キャンペーンは緊急性と行動を促すプレッシャーを生み出しました。」 キャンペーンで使用されたメールメッセージは、行動規範のレビューに関連する誘い文句を使用しており、「Internal Regulatory COC」、「Workforce Communications」、「Team Conduct Report」などの表示名が使用されていました。これらのメールに関連する件名には、「Internal case log issued under conduct policy」や「Reminder: employer opened a non-compliance case log」などがあります。 「各メッセージの上部には、『正規の社内チャネルを通じて発行された』という通知があり、リンクと添付ファイルは『安全なアクセス用にレビューおよび承認済み』であると記載されており、メールの主張する正当性を強化していました」とMicrosoftは説明しています。 メールは正規のメール配信サービスから送信されていると評価されています。メッセージには、行動規範のレビューに関する追加情報を提供するというPDF添付ファイルも含まれており、被害者をドキュメント内のリンクをクリックさせて認証情報収集フローを開始させます。 攻撃チェーンは、被害者を複数のCAPTCHAと中間ページに誘導し、これらはスキームに正当性のベニヤを施し、同時に自動化された防御を排除するように設計されていることが判明しています。  最終的に、これは敵対者による中間者（AiTM）フィッシング戦術を活用してMicrosoftの認証情報とトークンをリアルタイムで収集するサインインエクスペリエンスで終わります。これにより、脅威アクターは多要素認証（MFA）を効果的にバイパスできます。Microsoftによると、最終的な宛先は、悪意のあるフローがモバイルデバイスまたはデスクトップシステムからトリガーされたかどうかに依存します。 ### 2026年のフィッシングの傾向 この開示は、Microsoftが2026年1月から3月にかけてのメール脅威の状況を分析した結果、QRコードフィッシングが最も急速に成長している攻撃ベクトルとして浮上し、CAPTCHAで保護されたフィッシングはペイロードタイプ全体で「急速に」進化していることが明らかになったことを受けています。全体として、同社は約83億件のメールベースのフィッシング脅威を検出したと述べています。 そのうち、約80%はリンクベースであり、大規模なHTMLおよびZIPファイルがフィッシングメールを介して配布される悪意のあるペイロードの大部分を占めていました。これらの攻撃の大部分の最終的な目標は認証情報収集であり、マルウェア配信は四半期末までにわずか5〜6%に低下しました。 Microsoftはまた、**Tycoon 2FA**フィッシング・アズ・ア・サービス（PhaaS）プラットフォームの運営者が、2026年3月の協調的な妨害作戦の後、ホスティングプロバイダーとドメイン登録パターンをシフトさせようとしていると述べています[出典](https://thehackernews.com/2026/03/europol-led-operation-takes-down-tycoon.html)。 「3月末に向けて、Tycoon 2FAが**Cloudflare**をホスティングサービスとして使用しなくなり、現在ではさまざまな代替プラットフォームにドメインの大部分をホストしており、グループが同等の分析防止保護を提供する代替サービスを見つけようとしていることを示唆しています」と同社は付け加えています[出典](https://www.microsoft.com/en-us/security/blog/2026/04/30/email-threat-landscape-q1-2026-trends-and-insights/)。  2月に公開されたレポートで、**Palo Alto Networks** Unit 42は、脅威アクターがQRコードをURL短縮器として悪用して悪意のある宛先を偽装し、アカウント認証情報を盗むためのアプリ内ディープリンクを使用し、悪意のあるアプリの直接ダウンロードにリンクすることでアプリストアのセキュリティを回避する方法を強調しました[出典](https://unit42.paloaltonetworks.com/qr-codes-as-attack-vector/)。 Microsoftのデータによると、この3ヶ月間の期間中にQRコードフィッシングが大幅に急増し、攻撃量は1月の760万件から3月には1870万件に増加し、146%の増加を記録しました。3月下旬に観測された注目すべき進展の1つは、メール本文に直接埋め込まれたQRコードの使用でした。 一方、ビジネスメール詐欺（BEC）はより変動を示し、2026年3月には攻撃量が400万件を超え、1月には350万件以上、2月には300万件以上でした。合計で1070万件のBEC攻撃が記録されました。 Q1 2026中に観測された2つの注目すべきキャンペーンは以下の通りです。 * 2026年2月23日から2月25日までの大規模で持続的なキャンペーンで、23カ国の53,000以上の組織のユーザーに120万通以上のメッセージが送信され、401(k)、支払い、請求書をテーマにした誘い文句を使用してSVG添付ファイルを提供しました。ファイルを開くと、被害者はCAPTCHAチェックに誘導され、成功するとアカウントを侵害するための偽のサインインページが表示されました。 * 2026年3月17日の大規模なキャンペーンで、43カ国の179,000以上の組織に150万通以上の確認された悪意のあるメッセージが送信されました。この活動は、その月に観測されたすべての悪意のあるHTML添付ファイルの7%を占めました。開くと、HTMLファイルは被害者を初期フィッシングページにリダイレクトし、訪問者をスクリーニングしてから最終宛先であるCAPTCHAチャレンジを提示するフィッシングページにルーティングし、不正なサインインページを提供しました。 「興味深いことに、このキャンペーンのメッセージは共通のツール、構造、配信特性を共有していましたが、最終的なフィッシングペイロードをホストするインフラストラクチャは、複数の異なるPhaaSプロバイダーにリンクされていました」とMicrosoftは述べています。「観測されたフィッシングエンドポイントのほとんどはTycoon 2FAに関連していましたが、追加の活動は**Kratos**（旧Sneaky 2FA）および**EvilTokens**インフラストラクチャに関連していました。」 これらの発見は、SPF、DKIM、DMARCチェックをバイパスするために**Amazon Simple Email Service (SES)**を配信ベクトルとして悪用し、偽のサインインページを介して認証情報窃取を容易にするフィッシングおよびBECキャンペーンの出現と一致しています。これらの攻撃は、[漏洩したAWSアクセスキー](https://repost.aws/articles/ARoBXj63rWSt2Ww7XKlVV72g/how-aws-responds-to-exposed-credentials-and-how-you-can-protect-your-account)を通じてAmazon SESへのアクセスを取得することによって機能することがよくあります。 「Amazon SES攻撃の陰湿な性質は、攻撃者が疑わしいまたは危険なドメインを使用しているのではなく、ユーザーとセキュリティシステムが信頼するようになったインフラストラクチャを悪用していることにあります」と、**Kaspersky**は述べています[出典](https://securelist.com/amazon-ses-phishing-and-bec-attacks/119623/)。 「このサービスを武器化することにより、攻撃者は疑わしいドメインとメールインフラストラクチャをゼロから構築する労力を回避します。代わりに、既存のアクセスキーをハイジャックして、数千ものフィッシングメールを送信する能力を得ます。これらのメッセージはメール認証を通過し、ブロックリストに載る可能性が低いIPアドレスから送信されます。