メールセキュリティMFAWeb 担当者学習
メールアカウント MFA バイパス攻撃の手口と対策|中小企業・スタートアップ向け
ドメイン番人約 3 分で読めます
目次
この記事でわかること
- MFA を有効にしても突破される 4 つの手口
- 各手口の対策
- レガシー認証無効化の重要性
- 検知 / 対応のチェックリスト
なぜ MFA があっても突破される?
MFA(多要素認証)は強力な対策ですが、攻撃者は MFA を「突破」するのではなく「回避」する手口を使います。
手口 1: AiTM(Adversary in the Middle)フィッシング
偽の Microsoft / Google ログイン画面でユーザに ID/PW + MFA を入力させ、攻撃者がリアルタイムに本物にプロキシ。セッショントークンを窃取してログイン状態を奪う。
ツール: Evilginx, Modlishka 等が攻撃者間で広く流通。
対策:
- フィッシング耐性 MFA(WebAuthn / FIDO2 セキュリティキー)の導入。SMS / TOTP では防げない
- 条件付きアクセスポリシーで国 / IP 範囲を絞る
- Microsoft Defender for Cloud Apps / Google ワークスペースのリスクポリシーで「未知の場所からのログイン」を遮断
手口 2: セッショントークン窃取
ユーザの PC を侵害し、ブラウザのクッキー / セッショントークンを直接取得。MFA を経ずに認証済みセッションを再現。
対策:
- EDR(Endpoint Detection and Response)の導入
- ブラウザ拡張の最小化(怪しい拡張がトークンを抜く)
- 短い session timeout 設定
手口 3: OAuth トークン悪用(同意フィッシング)
「便利なアプリ」を装って OAuth で Mail.Read 等の権限を取得。本人の MFA を経由せず、トークン経由でメールを読まれる。
対策:
- Microsoft 365: 管理者承認が必要なアプリ範囲を絞る(admin consent workflow)
- Google Workspace: API クライアントの allowlist を厳格化
- 既存 OAuth トークンの定期 audit
手口 4: レガシー認証(Basic Auth)の悪用
POP3 / IMAP / SMTP Basic 認証が有効だと、MFA を要求されない経路で侵入可能。
対策:
- Microsoft 365: Conditional Access で「レガシー認証ブロック」ポリシー
- Google Workspace: 「アクセスの少ない安全度の低いアプリ」を無効化
検知 / 対応のチェックリスト
| 項目 | 推奨 |
|---|---|
| 異常ログイン通知 | Sign-in logs を毎週レビュー |
| Forwarding ルール監視 | 攻撃者は転送ルールでメール窃取するので新規 forward は通知 |
| OAuth アプリ棚卸し | 半年に 1 回、不要権限を取消 |
| レガシー認証無効化 | 全アカウント |
| Phishing 耐性 MFA | 全管理者アカウントは必須 |
| 月次パスワード強度監査 | Have I Been Pwned 突合 |
中小企業・スタートアップ向けの優先順位
- レガシー認証無効化(最小コスト、効果大)
- 管理者アカウントに FIDO2 セキュリティキー(年 $50 程度の物理鍵)
- OAuth アプリ棚卸し(管理画面で 30 分)
- Conditional Access の国 / IP 制限
- EDR 導入(規模に応じて)
まずは現状を把握しましょう
メール認証(SPF / DKIM / DMARC)が正しく設定されていれば、なりすましメール起点の侵入経路は減らせます。無料ドメイン診断 で現状確認を。
設定支援 / インシデント対応は メール認証 初期診断+設定(8 万円〜)でご相談ください。
関連記事: ビジネスメール詐欺 BEC 手口 / メールヘッダの読み方完全ガイド / 共有メールボックスのセキュリティ
SSL / Web セキュリティヘッダは 無料ツール一覧 もご利用ください。