🔥 この記事の詳細
2026-07-14 更新
C
月内に

Microsoft 365アカウントを標的とした、偽のMicrosoft Entra Passkey登録を促すフィッシング攻撃

脆弱性🌐 英語ソース
🖥️ 製品Microsoft 365
📅 2026-07-14📰 thaicert
📌 一言でいうと
Microsoft 365アカウントを標的とした、偽のMicrosoft Entra Passkey登録を促すフィッシング攻撃が確認されました。攻撃者はフィッシングサイトでユーザー名とパスワードを盗み、さらにMFA(多要素認証)をバイパスして、最終的に攻撃者が制御するPasskeyを登録させることでアカウントを完全に掌握しようとします。この攻撃の最終的な目的は、データのランサムウェア攻撃による身代金要求であるとされています。
🔍該当判定
  • 社内で Microsoft 365 (旧 Office 365) を利用している
  • ユーザーがログイン時に SMS認証や認証アプリ (Microsoft Authenticator) を利用している
  • 社員が不審なメールやURLから、Microsoftのログイン画面に誘導される可能性がある
上記いずれにも該当しない → 静観でOK
該当時の対応
1. 不審なリンクや、Passkeyの再登録を促すメールに注意し、URLを必ず確認すること。 2. MFA(多要素認証)の通知が身に覚えのないタイミングで届いた場合は、絶対に承認せず、すぐに管理者に報告すること。 3. 公式のMicrosoftドキュメントに基づいた認証設定のみを行うこと。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft 365アカウントを狙った偽の認証登録メールについて

お疲れさまです。情報システム担当です。
Microsoft 365の「Passkey(パスキー)」登録を装い、アカウント情報を盗み出そうとする巧妙なフィッシングメールが報告されています。

ご協力をお願いしたいこと:
1. 「Passkeyの登録・更新が必要です」といった不審なメールのリンクを安易にクリックしないでください。
2. ログイン時に身に覚えのないMFA(多要素認証)の承認リクエストが届いた場合は、絶対に「承認」せず、すぐに情報システム担当までご連絡ください。

対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Phishing Emails Targeting Microsoft 365 Passkey Registration

Dear employees,

We have received reports of sophisticated phishing attacks that trick users into registering fake Microsoft Entra Passkeys to steal Microsoft 365 account access.

What we need from you:
1. Do not click on suspicious links in emails requesting you to register or update your "Passkey."
2. If you receive an MFA (Multi-Factor Authentication) approval request that you did not initiate, do NOT approve it and report it to the IT department immediately.

Deadline: Immediate action requested.