「うちは多要素認証（MFA）を導入しているから、セキュリティは万全だ」

多くの企業やシステム管理者がそう考えているかもしれません。しかし、その「常識」を根本から覆す、極めて巧妙なサイバー攻撃が「リアルタイムフィッシング」です。この攻撃は、従来「安全の切り札」とされてきたSMS認証や認証アプリ（TOTP）すらも無力化し、企業の機密情報や金融資産を深刻な危険に晒します。

本記事では、この「リアルタイムフィッシング」とは何か、なぜ従来のMFAが突破されてしまうのか、その恐ろしい攻撃メカニズム、そして企業が今すぐ講じるべき本質的な防御策について、専門的な観点から徹底的に解説します。

リアルタイムフィッシングとは？

リアルタイムフィッシングとは、攻撃者が被害者と正規のWebサービス（例：Microsoft 365, Google Workspace, オンラインバンキング）との間に「中間者」として介在し、認証情報をリアルタイムで盗み取る攻撃手法です。

これは「AiTM（Adversary-in-the-Middle：中間者攻撃）」の一種であり、従来のフィッシング攻撃とは危険性が根本的に異なります。

従来のフィッシングは、IDとパスワードという「静的な情報」を盗むことが目的でした。 一方、リアルタイムフィッシングは、IDとパスワードに加えて、「MFA認証コード」や認証成功後に発行される「セッションクッキー」までもリアルタイムで窃取し、正規のセッション（ログイン状態）そのものを乗っ取ることが目的です。

なぜ「MFA認証コード」が突破されるのか？ その巧妙な攻撃メカニズム

多くが信頼を置くMFA認証コードが、なぜこの攻撃の前では無力なのでしょうか。そのステップを詳細に解説します。

誘導（フィッシングメール・SMS）

攻撃の起点（入口）は、従来のフィッシングと変わりません。 「Microsoft 365のセキュリティ警告」「Google Workspaceのアカウントがロックされました」「社内システムへの再ログインが必要です」といった、緊急性を煽る偽のメールやSMS（スミッシング）が従業員に送信されます。

偽装サイト（リバースプロキシ）へのアクセス

被害者が文中のリンクをクリックすると、本物と見分けがつかないほど精巧に作られた偽のログインページに誘導されます。

ここが最大のポイントですが、この偽サイトは単なる「張りぼて」ではありません。攻撃者が用意した「リバースプロキシサーバー」として機能しています。被害者がこの偽サイトで行うすべての操作は、瞬時に正規のログインページへ転送（中継）されます。

認証情報の中継（IDとパスワード）

被害者は偽サイトとは気づかず、自身のID（メールアドレス）とパスワードを入力します。 攻撃者のサーバーは、その情報をリアルタイムで受け取り、即座に正規のサイトへ送信します。

MFA認証コード要求の横取り

正規のサイトは、IDとパスワードが正しいことを確認すると、当然ながら「MFA認証コード」を要求します。例えば、「SMSに送信された6桁のコードを入力してください」「認証アプリの番号を入力してください」といった画面を返します。

攻撃者のサーバーは、このMFA認証コード要求画面をそのまま受け取り、被害者のブラウザに表示（中継）します。

MFA認証コードの窃取と中継

被害者は、正規のプロセスだと信じ込み、自身のスマートフォンに届いたSMSコードや、認証アプリに表示されたワンタイムパスワード（TOTP）を、偽サイトの画面に入力します。

攻撃者のサーバーは、その認証コードをリアルタイムで受け取り、即座に正規のサイトへ送信します。

セッションハイジャックの完了

正規のサイトは、正しいID、正しいパスワード、そして正しいMFA認証コードを受け取ったため、これを「正規のログイン」として認証を許可します。

ここで、攻撃者は2つのものを同時に手に入れます。

1. 正規のログイン権限
2. 認証が成功したことを示す「セッションクッキー」

攻撃者はこのセッションクッキーを自身のブラウザにコピーすることで、MFA認証コードのプロセスを再度行うことなく、被害者になりすまして正規のサービス（社内システム、メール、クラウドストレージ）に自由にアクセスできるようになります。これが「セッションハイジャック」です。

被害者側は、MFA認証コードを入力した後に「エラーが発生しました」と表示されたり、正規のポータルサイトにリダイレクトされたりするため、攻撃が成功したことに気づきにくいのが特徴です。

従来のフィッシング対策が通用しない理由

リアルタイムフィッシングの脅威は、これまでのセキュリティ教育や対策が前提としていた「常識」を覆す点にあります。

1. SMS認証・認証アプリ（TOTP）の限界

SMSやGoogle Authenticatorなどの認証アプリ（TOTP）は、「そのコードを知っていること」を認証の要素としています。しかし、システム側は「誰がそのコードを入力しているのか」までは判別できません。

Microsoft Security Blog

From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial frau... A large-scale phishing campaign that attempted to target over 10,000 organizations since September 2021 used adversary-in-the-middle (AiTM) phishing sites to st...

リアルタイムフィッシングは、正規の利用者本人にコードを入力させ、それを横取りして中継するだけです。そのため、MFAの仕組み自体は機能していても、攻撃者を防ぐ壁としては機能しないのです。

2. 従業員教育の限界

「URLを必ず確認しましょう」というセキュリティ教育は重要です。しかし、攻撃者も進化しています。

• タイポスクワッティング： microsoft.com を micros**0**ft.com にするなど。
• ホモグラフ攻撃：見た目が同じ別の文字（例：キリル文字の「а」）を使う。
• 正規ドメインの悪用： login.microsoft.security-update.com のように、一見正当に見えるサブドメインを作成する。

多忙な業務中、これらの微細な違いをすべての従業員が常に見抜くことは、現実的に不可能です。

リアルタイムフィッシング被害の兆候と対処法

万が一、攻撃を受けた、あるいはその疑いがある場合、以下の兆候に注意し、即座に対処する必要があります。

被害の兆候

• 自身が操作していないタイミングで「（別端末・別地域から）MFA認証が成功しました」という通知が届く。
• 利用中のMicrosoft 365やGoogle Workspaceから、突然強制的にログアウトさせられる。
• 送信した覚えのないメールが送信済みトレイにある、あるいはファイルが削除・変更されている。
• セキュリティログに、見慣れないIPアドレスや地域からの「認証成功」の履歴が残っている。

対処法

1. システム管理者への即時報告：最も重要です。個人の判断で対処しようとせず、直ちにIT部門またはセキュリティ担当部署（CSIRT）に連絡します。
2. パスワードの即時変更：ログイン可能であれば、即座にパスワードを変更します。
3. 全セッションの強制終了：システムの管理者は、該当アカウントの「すべてのアクティブなセッション」を強制的に切断（サインアウト）する必要があります。これにより、攻撃者が盗んだセッションクッキーが無効化されます。
4. ログの保全と調査：管理者は、侵害が疑われる時間帯のアクセスログ、操作ログを保全し、被害範囲（どの情報にアクセスされたか）を特定します。

リアルタイムフィッシングを防ぐための「本質的な」対策

従来の対策が通用しない以上、企業は防御戦略を根本から見直す必要があります。

【最重要】フィッシング耐性MFA（FIDO2/Passkey）への移行

この攻撃に対する最も強力かつ根本的な解決策は、「フィッシング耐性」を持つMFAへ移行することです。具体的には「FIDO2（WebAuthn）」規格に基づいた認証を指します。

• 代表的な手段：
  • セキュリティキー（YubiKey, Google Titan Keyなど）
  • 生体認証（Windows Hello, Face ID, Touch ID）
  • パスキー（Passkeys）
• なぜ有効なのか：
  • FIDO2/Passkeyによる認証は、利用者が「秘密鍵（デバイス内にある情報）」を持っていることと、アクセス先の「ドメイン（Webサイトのアドレス）」を暗号技術で紐付けて検証します。仮に被害者が偽サイト（例：login.micros0ft.com）にアクセスしても、デバイスに保存された秘密鍵は「正規のドメイン（login.microsoft.com）以外には応答しない」ように設計されています。 利用者が騙されても、認証情報が偽サイトに送られること自体がないため、攻撃者はMFAを中継（横取り）することが原理的に不可能です。SMSや認証アプリが「知っている情報（コード）」を検証するのに対し、FIDO2は「信頼できる場所（ドメイン）で、信頼できるモノ（キー）が使われているか」を検証します。これが「フィッシング耐性」の本質です。

CISA*はphishing-resistant MFAとして最優先採用を推奨。
https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf
*CISA（米国サイバーセキュリティー・インフラセキュリティー庁）

ゼロトラスト・アーキテクチャの導入と条件付きアクセス

「一度認証したら信頼する」という従来の境界型防御（ペリメータ・モデル）を捨て、「常に検証する」ゼロトラストの考え方を導入します。

特にMicrosoft 365やGoogle Workspaceでは「条件付きアクセス（Conditional Access）」ポリシーの強化が有効です。

• 具体例：
  • 会社の管理下にあるデバイス（MDM登録済み）以外からのアクセスを原則ブロックする。
  • 日本国外や、通常業務ではあり得ないIPアドレスからのMFA成功を異常とみなし、追加認証を要求、またはブロックする。
  • セッションの有効期間を短縮し、リスクが検知された場合は即座にセッションを無効化する。

攻撃者が認証に成功しても、その後の「振る舞い」が通常と異なる（例：海外のIPアドレス、管理されていない端末）場合、アクセスを遮断することが可能になります。

URLフィルタリングおよびDNSセキュリティの強化

攻撃の入口であるフィッシングサイトへのアクセスを、技術的にブロックする施策も重要です。

• 既知の悪性ドメインや、新規に登録されたばかりのドメイン（NRD: Newly Registered Domains）へのアクセスを、ネットワークレベルで遮断するセキュリティ製品（セキュアWebゲートウェイやDNSフィルタリング）を導入します。

EDR（Endpoint Detection and Response）による監視

万が一、従業員の端末（エンドポイント）が侵害された場合に備え、EDRソリューションを導入します。 EDRは、端末上での不審なプロセス（例：ブラウザからの異常な通信、セッション情報の窃取を試みる動作）を検知し、管理者に警告、または自動的に隔離することができます。

高度なフィッシングシミュレーション訓練

従業員教育も、従来の「リンクをクリックしない」レベルからアップデートが必要です。 「MFAを要求されたが、心当たりがない」「ログイン通知が来たが、自分ではない」といった、攻撃の「兆候」を検知した際に、即座にIT部門へ報告（エスカレーション）するプロセスを徹底的に訓練します。

まとめ：MFAへの「過信」を捨て、次世代の防御へ

リアルタイムフィッシングは、私たちが「安全策」として依存してきたSMS認証や認証アプリという前提を崩壊させる、非常に強力な攻撃です。

「MFAを導入しているから安全」という認識は、もはや過去のものです。 この巧妙な攻撃に対抗するためには、攻撃者が介在する余地のない「FIDO2/Passkey」といったフィッシング耐性MFAへの移行が、今や必須の経営課題となっています。

自社の認証基盤を見直し、ゼロトラストの原則に基づいた多層的な防御を構築すること。それこそが、巧妙化するサイバー攻撃から企業の重要なデジタル資産を守る、唯一確実な道筋です。