米Microsoft(マイクロソフト)は2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office 365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。 この攻撃の特徴は、大規模なことに加えて多要素認証(MFA:Multi-Factor Authentication)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。 複数の認証要素で安全性を高めたはずが 社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。 そこでメールなどのクラウドサービスを利用する企業の一部は、多