MFA導入だけでは防げないAiTM攻撃、SharePoint悪用の新戦術

概要

Microsoftが公開した分析によると、複数組織を標的とした多段階攻撃キャンペーンでは、SharePointなどMicrosoft 365のネイティブ機能を悪用してユーザー認証情報を窃取する手法が確認されています。重要な点は、この攻撃がパスワード変更やMFA導入後も機能する可能性があることで、従来の防御策の限界を示唆しています。

背景と文脈

AiTM攻撃は「中間者攻撃」として分類されますが、単なるネットワークレベルの盗聴ではなく、フィッシングと組織内ツールの悪用を組み合わせた高度な社会工学的手法です。SharePointを含むMicrosoft 365サービスが攻撃チェーンの一部に組み込まれることで、検出が困難になり、内部脅威と区別しづらくなります。これは「信頼できるはずの社内システムが攻撃経路になり得る」という従来のセキュリティ仮説の崩壊を意味します。クラウドサービスの普及により、組織境界の概念自体が薄れている中での、新たな脅威パラダイムと言えます。

今後の展望

こうした攻撃が公開されることで、他の攻撃グループによる亜種や応用版が急速に増加する可能性があります。Zero Trust Architectureの実装やリアルタイム異常検知の重要性がさらに高まると見られます。また、Microsoftを含むクラウドサービスプロバイダーは、より高度な認証メカニズムやアクセス制御ポリシーを提供する可能性があります。エンジニア側としては、単一の防御策に依存しない多層防御（Defense in Depth）と、攻撃検知・対応能力の強化が必須となるでしょう。

原文リンク: 「パスワード変更だけでは不十分」　SharePointを悪用するAiTM攻撃、Microsoftが対策公開

よくある質問

AiTM攻撃とは具体的にどのような手法ですか？

攻撃者がユーザーとシステムの間に介入し、ログイン情報やトークンをリアルタイムで窃取・中継する手法です。フィッシングサイトやプロキシを用いてセッション情報を盗聴しながら、正規のサービスへのアクセスを仲介することで、MFAやパスワード保護をも迂回できます。

パスワード変更やMFAが効かないのはなぜですか？

AiTM攻撃では、変更後のパスワードや、MFAの認証コードまで攻撃者が中間で受け取ります。セッショントークンやリフレッシュトークンも盗聴される可能性があるため、従来のクレデンシャル保護では防御不十分です。

SharePointが特に狙われる理由は何ですか？

SharePointはエンタープライズ環境で広く信頼されており、多くのユーザーが定期的にアクセスします。また、ドキュメント共有が社内プロセスとして埋め込まれているため、異常な振る舞いが見落とされやすいと考えられます。

どのような対策が有効ですか？

Microsoftが推奨する対策には、条件付きアクセスポリシーの強化、リスクベースの認証、異常なアクセスパターンの検知、フィッシング対策の徹底があります。さらに、Zero Trustモデルの導入により、すべてのアクセスを厳密に検証することが重要です。