攻撃手法の構造変化
詳細を読む
2026年5月、CrowdStrikeの金融サービス脅威レポート、FBIの公共サービス発表、Verizonのデータ侵害調査報告書という3つの独立した調査が、金融機関を狙う攻撃の構造的変化を明らかにしました。最も活発な脅威グループ「Mutant Spider」は、Microsoft Teamsを使った音声フィッシング(ビッシング)でIT部門を装い、従業員にMFAのリセットを実行させる手法で侵入しています。正規のセキュリティ機能が設計通りに動作した結果、攻撃者のデバイスが社内ネットワークに登録されるという構造的な問題です。
FBIが警告した「Kali365」は、Telegramで月額250ドルから購入できるフィッシングサービスです。MicrosoftのOAuth 2.0デバイス認証フローを悪用し、被害者の端末でMFA認証を通過させつつ、攻撃者側にトークンを渡します。取得したトークンでOutlook、Teams、OneDriveへ再認証なしにアクセスでき、数週間から数か月にわたり潜伏が可能になります。
Verizonの2026年版報告書によると、脆弱性の悪用が侵入経路の31%を占め、長年首位だった認証情報窃取(13%)を大きく上回りました。完全なパッチ適用までの中央値は32日から43日に延び、CISAの既知悪用脆弱性カタログに載った重大な欠陥のうちパッチが適用されたのはわずか26%です。攻撃者がAIを使いパッチを72時間以内にリバースエンジニアリングしている現状では、対応の遅れが致命的になります。
金融業界全体では、2025年にハンズオンキーボード型の侵入が2年前比で43%増加しました。北米では48%増です。ランサムウェアグループによるリークサイトへの金融機関掲載は334件から423件へと27%増え、Qilinランサムウェアを運用する「REVENANT SPIDER」は被害件数を14件から97件に急拡大させています。北朝鮮関連グループは2025年に20.2億ドル相当の暗号資産を窃取しました。
専門家はMFAの追加導入ではなく、MFAが実際に何を保護し何を保護しないかの再評価が必要だと指摘しています。具体的には、MFAリセット時の帯域外検証、FIDO2ハードウェアキーへの移行、デバイスコードフローの条件付きアクセスでの制限、OAuthトークンの有効期間管理が推奨されています。過去10年間で最大の予算を投じてきたパスワード保護は、もはや主要な攻撃経路ではなくなっています。