【ITニュース解説】Axios Abuse and Salty 2FA Kits Fuel Advanced Microsoft 365 Phishing Attacks

2025年09月09日に「The Hacker News」が公開したITニュース「Axios Abuse and Salty 2FA Kits Fuel Advanced Microsoft 365 Phishing Attacks」について初心者にもわかりやすいように丁寧に解説しています。

作成日: 2025年09月10日更新日: 2025年12月23日

ITニュース概要

攻撃者が通信ツールAxiosとMicrosoft 365の直接送信機能を悪用し、多要素認証を突破するフィッシング攻撃が増加。この巧妙な手法によりAxiosの不正利用が急増しており、Microsoft 365利用者は注意が必要である。

出典: Axios Abuse and Salty 2FA Kits Fuel Advanced Microsoft 365 Phishing Attacks | The Hacker News公開日: 2025年09月09日

ITニュース解説

近年、ビジネスで広く利用されているMicrosoft 365を標的とした、非常に巧妙なフィッシング攻撃が増加している。この攻撃は、従来の手法とは一線を画し、正規の開発ツールやMicrosoft 365自身の機能を悪用することで、セキュリティシステムによる検知を困難にしている点が特徴である。この新しい攻撃手法は、複数の要素を組み合わせることで、攻撃者にとって「非常に効率的な攻撃パイプライン」を形成していると指摘されている。

まず、この攻撃の根幹にあるのはフィッシングである。フィッシングとは、実在する企業やサービスを装った偽の電子メールを送りつけ、受信者を偽のウェブサイトに誘導し、IDやパスワードといった重要な認証情報を盗み出すサイバー攻撃の一種だ。多くの人がこの基本的な手口については知っているが、今回の攻撃は使用されるツールと手口の巧妙さにおいて進化している。

攻撃の第一段階で悪用されているのが「Axios」というツールである。Axiosは、本来ウェブアプリケーション開発者がサーバーとデータをやり取りするために使用する、正当で非常に人気のあるHTTPクライアントライブラリだ。開発者にとっては便利な道具であるが、攻撃者はこれをフィッシングメールの大量送信に悪用している。通常、不審なメールは、その送信元プログラムの特性（ユーザーエージェントと呼ばれる識別情報）から、セキュリティシステムによってブロックされることがある。しかし、広く使われている正規のツールであるAxiosからの通信は、一見すると正当なアプリケーションからの通信に見えるため、不審なものとして検知されにくい。実際に、あるセキュリティ企業の調査によると、2025年の6月から8月にかけて、Axiosのユーザーエージェントを持つ不審な活動が241%も急増したという報告があり、これは他の不審なユーザーエージェント全体の増加率85%を大きく上回っている。この事実は、攻撃者が検知回避のためにAxiosを積極的に利用していることを示唆している。

さらに、攻撃者はメール送信の仕組みとしてMicrosoft 365の「Direct Send」という機能を悪用している。Direct Sendは、組織内の複合機やアプリケーションなどから、外部のメールサーバーを経由せずに直接メールを送信するための機能だ。攻撃者がこの機能を悪用すると、送信元の情報を偽装しやすくなるだけでなく、企業のセキュリティ対策として導入されている外部のメールゲートウェイによるスキャンを回避できる可能性がある。つまり、AxiosとDirect Sendを組み合わせることで、攻撃者は検知されにくく、かつ信頼性があるように見えるフィッシングメールを、標的に対して効率的に送りつけることが可能になる。

フィッシングメールによって偽サイトへ誘導された後、攻撃の最終段階で登場するのが「Salty 2FA Kit」のようなフィッシングキットである。現代のセキュリティにおいて、IDとパスワードだけでは不十分とされ、多くのサービスで2要素認証（2FA）の導入が推奨されている。2FAは、パスワードに加えて、スマートフォンに送られる一時的なコードなど、もう一つの認証要素を要求することでセキュリティを強化する仕組みだ。しかし、Salty 2FA Kitのようなツールは、この2FAすらも突破するために設計されている。この手口は「中間者攻撃（Adversary-in-the-Middle）」と呼ばれる。ユーザーが偽のログインページにIDとパスワードを入力すると、フィッシングキットは即座にその情報を使って本物のMicrosoft 365のログインページに代理で入力する。すると、本物のサービスからユーザーのスマートフォンへ2FAの認証コードが送信される。ユーザーはそれが偽サイトからの要求であるとは知らずに、送られてきた認証コードを偽サイトの画面に入力してしまう。フィッシングキットはそのコードもリアルタイムで盗み取り、本物のサービスへのログインを完了させてしまうのだ。これにより、攻撃者は2FAで保護されているはずのアカウントへの不正アクセスを成功させる。

このように、Axiosによる検知回避、Direct Sendによる送信経路の悪用、そしてSalty 2FA Kitによる2要素認証の突破という三つの要素が連携することで、一連の攻撃が自動化され、非常に効率的なパイプラインが完成する。これは、攻撃者が単一のツールに頼るのではなく、複数の正規ツールやサービスの機能を巧みに組み合わせて、防御網をかいくぐろうとしている現代のサイバー攻撃の傾向を明確に示している。システムエンジニアを目指す者にとって、このような攻撃手法の理解は不可欠である。単にウイルス対策ソフトを導入するだけでなく、ネットワークの通信ログを監視し、Axiosのような予期しないツールからの大量アクセスがないかといった異常を検知する仕組みや、従業員へのセキュリティ教育を通じて、不審なメールやサイトへの警戒心を高めることが重要となる。また、中間者攻撃に耐性のある物理的なセキュリティキーを利用した認証方式（FIDO2/WebAuthn）への移行も、今後の有効な対策として検討されるべきだろう。攻撃者の手口は日々進化しており、防御する側も常に最新の脅威情報を学び、多層的な防御戦略を構築していく必要がある。