米国連邦捜査局（FBI）は今週月曜日、Microsoft 365プラットフォームのユーザーを標的とした新たなフィッシング詐欺について公式声明を発表しました。

FBIの調査によると、この一連の攻撃は「Kali365」と呼ばれるプラットフォームを中心として展開されており、洗練された「Phishing-as-a-Service（PaaS：サービスとしてのフィッシング）」システムとして特定されました。これは、高度な技術を持たない犯罪者であっても、サブスクリプションのようにシステムを利用するだけで簡単に大規模なフィッシング攻撃を行える、非常に悪質な仕組みです。

Kali365がこれほどまでに恐れられている最大の理由は、サイバー犯罪者が被害者のパスワードを必要とせずに、強固とされる多要素認証（MFA）を完全にバイパス（突破）してしまう点にあります。このプラットフォームは主に、秘匿性の高い通信アプリ「Telegram」経由でサイバー犯罪者たちの間に拡散されています。

具体的な手口として、攻撃者はまず正規のクラウドサービスやファイル共有プラットフォームを巧妙に装い、ターゲットへ詐欺的な電子メールを送信します。そのメール内には「アクセスコード」などの数字が提示されており、同時にMicrosoftを装った偽の確認ページ（フィッシングサイト）へと誘導されます。ここでユーザーが誘導通りにコードを入力してしまうと、その瞬間に攻撃者の機器がターゲットのアカウントへ直接アクセスするためのセッション権限を確立してしまいます。

一度攻撃が成功してしまうと、サイバー犯罪者は被害者のOutlookメール受信トレイだけでなく、社内コミュニケーションツールであるTeams、さらには重要な業務データや機密情報が保管されているOneDriveクラウドストレージなど、多岐にわたるMicrosoftリソースを完全に制御（乗っ取り）できるようになります。

FBIの発表によれば、このKali365は、ハッキングの専門知識が乏しい攻撃者であっても、以下のような高度な犯罪機能をパッケージとして利用できるように自動化されています。

• AIを利用したフィッシングトラップ：一見して見破りにくい精巧な偽画面や文面をAIで自動生成する機能
• 自動化されたキャンペーン：大量のターゲットに対して効率的に攻撃メールを展開するシステム
• リアルタイムの監視ダッシュボード：被害者の引っかかり具合や進行状況を視覚的に追跡できる管理画面
• OAuthトークンのキャプチャ機能：一度のログインで永続的なアクセスを可能にするOAuthトークンを直接窃取する機能

FBIによるKali365詐欺の最初の特定は2026年4月に発生し、それ以降、本格的な捜査が開始されています。MFAを設定している組織の「安心感」を逆手に取る手口であるため、従来のセキュリティ教育の延長線上では防ぎきれないケースが増えています。

これを受けて、FBIはすべてのユーザーに対し、少しでも不審と感じる電子メールや、身に覚えのないデバイスからのアクセスを検知した場合は、インターネット犯罪苦情センター（IC3）へ速やかに報告するよう勧告しています。また、身に覚えのない一方的なアクセスコードの提示や、それを入力させるためのリンクは絶対にクリックしないよう、組織全体での徹底した注意喚起を呼びかけています。