コラム
無印・東芝で起きた「偽の認証画面」――なぜ自社サイトの管理を頑張っても防げないのか
無印・東芝で発生した偽認証画面の原因polyfill.ioを解説。供給網汚染は自社のパスワード管理では防げない理由と、電話発信認証を正規サイトの目印にする発想を紹介します。
お知らせ一覧
2FAを入れても突破される?EC-CUBE CVE-2026-30777が示す多重認証の落とし...
EC-CUBEの2FAバイパス脆弱性CVE-2026-30777を解説。パッチ適用だけでは不十分な理由と、直列認証の限界、電話発信認証で管理画面を多層化する考え方を整理します。
お知らせ一覧
GoogleもNISTも「SMSをやめろ」と言う時代——SMS廃止後、EC・金融が選ぶべき認証...
Gmail・GビズID・NISTが相次いでSMS認証を見直す中、EC・金融が次に選ぶべき認証は何か。リアルタイムフィッシング、パスキー、電話発信認証など主要選択肢を比較し、廃止後の設計指針を解説します。
お知らせ一覧
介護情報基盤2026年度スタート——デジタル化する介護現場で「つながる保証」をどう担保するか
2026年度開始の「介護情報基盤」で介護現場の連携が変わる中、本人確認・本人アクセスの空白をどう埋めるか。高齢者デジタルデバイドへの現場対応と、「つながる保証」という考え方を解説します。
お知らせ一覧
AIが“なりすまし”のコストをゼロにした時代に —突破されない認証は「AIが触れない場所」にある
先日、あるセキュリティ責任者の方が書かれた一文を読んで、背筋が伸びる思いがしました。自社に届いたフィッシングメールを眺めていて、思わず二度見してしまった—3年前なら件名と差出人を見た瞬間に鼻で笑っていたはずのメールが、いまでは「これ、本物では?」と疑ってしまうレベルで届くようになった、と。 これはwevnalのCTO・鈴木和夫氏がnoteで公開した「AIがセキュリティの前提を壊した日」という記事の冒頭です。日本語の不自然さも、ロゴの解像度も、偽装ドメインの精度も、すべてが別物になった—氏はそう書いています。 ここで起きているのは、単に「フィッシングが巧妙になった」という話ではありません。AIによって、攻撃する側と守る側のコストのバランスが、根本からひっくり返ったということです。本稿では、その変化を正面から受け止めたうえで、それでも突破されない認証はどこにあるのか—という一点に絞ってお話しします。 1. AIは「なりすますコスト」をゼロに近づけた 日本語の壁が崩れた—「人を最後の砦にする」運用の限界 これまで日本の現場には、ある種の安心材料がありました。海外発のフィッシングメールは機械翻訳の不自然さが残り、敬語や時制が崩れていたため、注意深い社員ならかなりの確率で見破れたのです。いわば「日本語というファイアウォール(防火壁)」に守られていた、と言ってもよいと思います。 ところが、その壁が崩れました。生成AIの登場で、敬語にも業界の慣習にも沿った自然な文面が、秒単位で量産できるようになったのです。社内の決裁プロセスや日本特有の取引慣行まで踏まえたビジネスメール詐欺—取引先や経営者になりすまして偽の送金先に振り込ませる手口です—も増えています。 これは個人の感覚論ではありません。IPA(独立行政法人 情報処理推進機構)が公表した「情報セキュリティ10大脅威 2026」でも、生成AIの進化によってビジネスメール詐欺の巧妙さにさらに磨きがかかっている、と明記されています(出典:IPA「情報セキュリティ10大脅威 2026」2026年)。 つまり、「人の目で最後に見破る」という運用が、いよいよ限界に来ているということです。冒頭の「二度見してしまうメール」は、その象徴だと言えます。 攻撃の自律化—偵察から窃取まで、人手を介さなくなる もう一つ、見逃せない変化があります。攻撃そのものをAIに任せる動きです。 2026年に入ってから、AnthropicがGTG-1002と呼ぶ脅威グループによる攻撃を公表しました。同社の説明によれば、偵察から脆弱性の発見、横方向への侵入、認証情報の窃取、データの持ち出しまで—その8〜9割が自律的に実行されていたとされています(出典:Anthropic「Disrupting AI espionage」2026年)。 ここで起きているのは、「攻撃者がAIを補助的に使う」段階から「攻撃そのものをAIに任せる」段階への移行です。攻撃のコストは劇的に下がり、スピードと品質は跳ね上がります。守る側にとっては、人の手の数を前提にした検知・対応のモデルそのものが古くなっていく、ということを意味します。 2. SMSとワンタイムパスワードは、なぜ“原理的に”突破されるのか 「コードを入力させる」方式の構造的な穴 ここで、いま多くのサービスが使っている本人確認の方法を振り返ってみます。SMS認証は、企業がショートメッセージで数字のコードを送り、ユーザーがそれを画面に入力する—という流れです。 この方式には、構造的な穴があります。「ユーザーにコードを入力させる」という設計そのものが弱点なのです。攻撃者が本物そっくりの偽サイトを用意し、そこにコードを入力させれば、攻撃者はそのコードをそのまま本物のサイトに横流しして、なりすませてしまいます。 身近なたとえで言うと、合言葉で本人確認をする仕組みに似ています。「合言葉を言ってください」と聞く方式では、間に立った偽者が「合言葉は?」と尋ね、聞き出した言葉をそのまま奥の本物に伝えてしまえば、通れてしまう—そういう穴です。SIMスワップ(携帯番号を不正に乗っ取る手口)による傍受のリスクもあります。 この穴は、すでに実害として表れています。フードデリバリーの分野では、海外の使い捨て番号やVoIP(インターネット経由の電話番号)を使ったSMS認証の突破が常態化し、いたずら注文による配達員の無駄な稼働や飲食店の廃棄ロスが発生しています。後払い決済の分野でも、メールアドレスと電話番号だけで使える手軽さの裏で、架空の個人情報による「取り込み詐欺」が未回収を押し上げています。 AIがなりすましのコストをゼロに近づけたいま、「コードを入力させる」方式の穴は、これまで以上に突かれやすくなっています。 AIは「情報」を盗めても、「物理的な回線」は持てない では、攻撃側がどれだけ賢くなっても、決して複製できないものは何でしょうか。 それは、契約された電話回線そのものです。AIは文面を完璧に偽装できます。コードを盗み、画面を真似ることもできます。しかし、特定の人が通信会社と契約した物理的な電話回線—その回線から発信するという行為だけは、画面の向こうの攻撃者には代行できません。...
お知らせ一覧
MFAを入れていても乗っ取られる?Microsoftが警告した「AIフィッシング」の新手口と、...
「多要素認証(MFA)を導入しているから安全」―そう考えている方は多いのではないでしょうか。しかし2026年4月、Microsoftが公開したレポートは、その安心感を根本から揺るがす内容でした。報告されたのは、AIを活用した大規模なフィッシング攻撃の実態です。この攻撃の厄介なところは、MFAのパスワードを「盗む」のではなく、認証の仕組みそのものを「すり抜ける」設計になっていること。しかも攻撃ツールが「サービス」として流通しており、高度な技術を持たない攻撃者でも実行できる状況が生まれています。Microsoftによると、この攻撃は2025年2月に確認された類似のキャンペーンからさらに進化しており、手動スクリプトに依存していた従来型と異なり、AIを活用したエンドツーエンドの自動化が実現されています。攻撃の成功率とスケールにおいて「重大なエスカレーション」と位置づけられました。この記事では、何が起きているのかをできるだけ平易に整理し、企業として何を見直すべきかを考えます。 1. いま何が起きているのか―「本人が正規の画面で認証してしまう」攻撃 MFAをすり抜ける仕組み 今回の攻撃で悪用されたのは、「デバイスコード認証」と呼ばれる正規のログイン方式です。これはスマートTVやプリンタなど、キーボードのないデバイスからログインするために用意された仕組みで、画面に表示されたコードを別のPCやスマホで入力して認証を完了します。 ポイントは、「コードを発行した側」と「コードを入力する側」が別のデバイスであることです。攻撃者はこの構造を悪用し、自分が発行したコードを、フィッシングメール経由で被害者に入力させます。 被害者はMicrosoftの正規のログイン画面でコードを入力し、いつも通りMFAの認証も完了します。URLも本物、画面も本物。しかしその裏で、認証の「成果」―つまりアカウントへのアクセス権―は攻撃者の手に渡っている。パスワードは一切盗まれていないのに、アカウントが乗っ取られるのです。 たとえるなら、「鍵を盗む」のではなく「本人に鍵を開けさせて、そのまま入る」ようなもの。鍵の複雑さ(MFAの強度)をいくら上げても、本人が正規の手順で開けてしまう以上、防ぎようがありません。 「怪しいURLに注意しましょう」という従来のセキュリティ教育が、この攻撃にはほぼ通用しないという点が、特に深刻です。 AIで「あなた専用」のフィッシングメールが届く 従来のフィッシングメールは、「パスワードの有効期限が切れます」のような汎用的な文面が中心でした。しかし今回の攻撃では、AIがターゲットの役職や業務内容に合わせたメールを自動生成しています。経理担当者には請求書、営業担当者には提案依頼、製造部門にはワークフロー通知―日常業務の延長として自然に受け取れる内容が届くため、警戒心が働きにくい設計です。 さらに技術面でも巧妙な工夫がありました。デバイスコードには15分の有効期限がありますが、従来の攻撃ではメール送信前にコードを発行していたため、受信者がメールを開くまでに期限切れになることが多かったのです。今回の攻撃では、被害者がリンクをクリックした瞬間にコードを発行する仕組みに進化しており、この時間制限を実質的に無効化しています。 生成されたコードは被害者のクリップボードに自動コピーされ、正規のMicrosoftログインページに遷移後、ペーストするだけで認証が完了します。攻撃の「使いやすさ」は、もはや正規のWebサービスと変わらない水準です。 加えて、フィッシングページ自体もよく作り込まれています。ドキュメントのプレビュー画面をぼかし表示にして「本人確認」ボタンを配置するパターンや、ブラウザの中に偽のブラウザ画面を表示してMicrosoftのログイン画面を再現するパターンが確認されています。電子署名や音声メール通知など複数のテーマが使い分けられており、「このパターンに注意」と一律に伝えること自体が難しい状況です。 攻撃が「サービス化」している現実 今回のキャンペーンでは「EvilToken」と呼ばれる攻撃ツールキットの関与が確認されています。これはPhaaS(フィッシング・アズ・ア・サービス)―フィッシング攻撃のインフラをサービスとして提供するビジネスモデルです。 攻撃の裏側では、Railway.comやCloudflare、AWSといった正規のクラウドサービス上に攻撃基盤が構築されていました。一般企業が業務で使うのと同じプラットフォーム上で攻撃が動いているため、「怪しい通信先をブロックする」というアプローチでは、正規の業務通信まで止めてしまうリスクがあります。 いまやサイバー攻撃もクラウド上で自動運用される時代。防御側が年に1回のセキュリティ監査で対抗しようとするのは、馬車で新幹線を追いかけるようなものかもしれません。 2. 「MFAを入れているから安全」はもう通用しない MFAは万能ではない――残り10%の脅威 誤解のないように補足すると、MFA自体は依然として有効な防御策です。米国の安全保障当局によれば、MFAはサイバー攻撃の約90%を防いでいるとされています。 問題は残りの10%です。MFAの普及が進んだことで、攻撃者の関心は「MFAで守られていないアカウント」から「MFAをすり抜ける方法の開発」へと移っています。Microsoftによれば、同社が過去1年間でブロックしたパスワード攻撃は毎秒7,000件、前年比75%増。MFAの壁に阻まれた攻撃者が、より高度な迂回策に投資するのは必然的な流れです。 現在確認されているMFAをすり抜ける主な手法は3つあります。正規サイトとの通信に割り込んで認証情報を横取りする「中間者攻撃」、承認リクエストを大量に送りつけてうっかり許可させる「MFA疲労攻撃」、そして今回レポートされた「デバイスコードフィッシング」です。 前の2つがMFAの「運用上の隙」を突くのに対し、デバイスコードフィッシングは認証の仕組みそのものの「設計上の特性」を利用しているため、より根本的な対策が求められます。しかも、これらの手法は単独ではなく組み合わせて使われるのが実態です。今回のキャンペーンでも、メール配信には乗っ取り済みの正規ドメインが使われ、リダイレクトにはクラウドサービスが活用されるなど、複数の攻撃手法が何層にも重ねられていました。 「MFAを入れているか」ではなく、「どんな仕組みのMFAを、どこに適用しているか」が問われる時代に入りました。 乗っ取り後、10分で何が起きるか 今回のレポートで特に深刻なのは、アカウント乗っ取り後の行動の速さです。 Microsoftの観察によると、攻撃者はアクセス権を取得してから最短10分以内に、乗っ取ったアカウントに新しいデバイスを登録して長期的なアクセス手段を確保し、社内の組織図や権限情報を自動スキャンしてCFOや経理担当者など「お金を動かせる人」を特定していました。 最終的には、ターゲットのメールに不正な転送ルールを仕込み、本人に気づかれないまま送金情報や請求書データを抜き取り続けます。しかも攻撃者は大量に乗っ取ったアカウントの全てを攻撃するのではなく、「高価値なターゲット」を選別して集中投資する、まさにビジネス化された攻撃オペレーションを展開しています。...
お知らせ一覧