🔥 この記事の詳細
2026-04-10 更新
B
今週中

Storm-2755と特定される攻撃者が、カナダの従業員を標的に給与支払いを盗む攻撃を行っています

事案🌐 英語ソース
📅 2026-04-10📰 bleeping
📌 一言でいうと
Storm-2755と特定される攻撃者が、カナダの従業員を標的に給与支払いを盗む攻撃を行っています。攻撃者はSEOポイズニングやマルバタイジングを用いて偽のMicrosoft 365サインインページへ誘導し、AiTM(Adversary-in-the-Middle)攻撃によって認証トークンとセッションクッキーを窃取します。これにより、多要素認証(MFA)をバイパスしてアカウントに不正アクセスすることが可能です。
🏢影響範囲
カナダの組織、Microsoft 365を利用している従業員
該当時の対応
FIDO2準拠のパスワードレス認証(セキュリティキー等)の導入、不審なURLへのアクセス禁止、セッション有効期限の短縮、および不審なサインインログの監視を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft 365の偽ログイン画面によるなりすまし攻撃について

お疲れさまです。情報システム担当です。
現在、本物のログイン画面にそっくりな偽サイトへ誘導し、パスワードや認証情報を盗み出す攻撃が確認されています。

ご協力をお願いしたいこと:
1. 検索結果からログインページにアクセスせず、必ず公式のブックマークやアプリからログインしてください。
2. 万が一、ログイン後に不審な挙動(身に覚えのないメール送信や設定変更)に気づいた場合は、すぐにシステム担当まで報告してください。

対応期限: 本日中
Subject: [Security Alert] Phishing Attacks Targeting Microsoft 365 Accounts

Dear employees,
We have observed phishing attacks using fake Microsoft 365 login pages to steal account credentials and session tokens.

Requested Actions:
1. Avoid accessing login pages via search engine results; always use official bookmarks or the company app.
2. If you notice any suspicious activity in your account (e.g., emails you didn't send), please report it to the IT department immediately.

Deadline: Immediate
件名: 【共有】Storm-2755によるAiTM攻撃(MFAバイパス)への対応について

お疲れさまです。Storm-2755による給与窃取を目的とした攻撃に関する情報共有です。

■ 概要
攻撃者はSEOポイズニングやマルバタイジングを用いて偽のM365サインインページへ誘導し、AiTM (Adversary-in-the-Middle) フレームワークを用いてセッションクッキーとOAuthトークンをリアルタイムで窃取します。これにより、従来のMFAをバイパスしてアカウントへの不正アクセスを可能にしています。

■ 影響範囲
- Microsoft 365を利用している全ユーザー

■ 対応手順
1. FIDO2準拠の認証(Windows Hello, セキュリティキー等)への移行を検討し、フィッシング耐性のあるMFAを導入する。
2. 条件付きアクセス(Conditional Access)ポリシーを見直し、信頼できない場所やデバイスからのセッション維持時間を短縮する。
3. 不審なドメイン(例: bluegraintours[.]com)への通信をブロックする。

■ 参考情報
- Microsoft Threat Intelligence

対応優先度: 高
対応期限: 今週中
Subject: [Technical Alert] AiTM Attacks by Storm-2755 Bypassing MFA

Dear Security Team,
This is a technical update regarding the payroll pirate attacks conducted by Storm-2755.

■ Overview
The actor utilizes SEO poisoning and malvertising to lure victims to fake Microsoft 365 sign-in pages. By employing an Adversary-in-the-Middle (AiTM) framework, they proxy the authentication flow in real-time to capture session cookies and OAuth tokens, effectively bypassing MFA.

■ Scope
- All users utilizing Microsoft 365 services.

■ Mitigation Steps
1. Implement phishing-resistant MFA, such as FIDO2-compliant security keys or Windows Hello for Business.
2. Review Conditional Access policies to reduce session lifetimes for untrusted locations/devices.
3. Block known malicious domains (e.g., bluegraintours[.]com) at the network level.

■ Reference
- Microsoft Threat Intelligence

Priority: High
Deadline: End of this week
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-10 のまとめ🔍 記事を検索