- Kali365はOctopi365およびFreedom365とも呼ばれる高度なPhishing-as-a-Serviceプラットフォームで、Microsoftアカウントを標的にしています
- 2026年5月、セキュリティ企業Huntressが中国を発信元とする大量のMicrosoft 365ログインを調査した際に初めて検出されました
- FBIは公共サービスアナウンスメントの一環として、その手口を詳述した警告を発出しています
フィッシング攻撃は今に始まったことではなく、1日あたり推定34億通もの悪意あるメールが送信されており、全メールトラフィックの実に1.2%を占めています。
Googleだけでも1日に約1億通のフィッシングメールをブロックしており、脅威アクターたちは独自のキャンペーン、AIが生成したコンテンツ、そして最近ではQRコードを駆使して無防備な被害者を誘い込むなど、手口を次々と進化させています。
そのような中、サイバーセキュリティ企業Huntressが検出した最新のPhishing-as-a-Serviceツールキットは、その高度さ、規模、そして成功率において際立った存在です。
高度なフィッシング請負サービスの実態
Kali365が同類のサービスと一線を画す理由は、その運用規模と手法にあります。多くのフィッシング操作とは異なり、Kali365はMicrosoftの製品・サービスを偽装する33種類以上の組み込みテンプレート、100のAPIエンドポイント、そしてフィッシングチーム向けのロールベースアクセス制御を備えたツールです。
AIを活用したフィッシング機能に加え、高度な収益分配パイプライン、暗号資産決済ゲートウェイの統合、ソフトウェアスイートへの段階的なアクセス権限、そして完全なサービスを求めるユーザー向けにはオペレーター用のデスクトップアプリケーションも用意されています。
ただし、Kali365やそのバリアント・クローンであるOctopi365やFreedom365は、MFAを直接侵害したり回避したりするわけではありません。その代わりに、極めて正規に見えるメールと行動喚起(CTA)を使ってセッションCookieやOAuthトークンを窃取し、被害者のアカウントへのアクセスを可能にする仕組みになっています。
その手口は極めてシームレスです。標的となるユーザーにはMicrosoftのウェブサイトとSSL証明書が表示されるだけで、自分が悪意のある攻撃者にアクセス権を明け渡しているという警告は一切表示されません。攻撃者は被害者の認証済みトークンを使ってアカウントにアクセスします。AIが生成したフィッシング用の囮は高度に作り込まれていますが、FBIが指摘するように、依然としてユーザーがメール経由でフィッシングされる必要があり、その多くが「信頼できるクラウド生産性ツールやドキュメント共有サービス」を偽装しています。
しかし、AIの利用の中でも特に悪質なのは、AnthropicのClaude AIモデルを使って傍受したメールスレッドを読み取り、詐欺の可能性をスコアリングしたうえで、架空の銀行口座情報と人為的な緊急感を盛り込んだ説得力のある返信メッセージを作成し、被害者自身のメールボックスから送信するという手口です。
FBIの警告は引き続き有効ですが、その規模、多岐にわたるフィッシング攻撃ベクター、そして競合の多くと比較した際の「正規」に見える外観を踏まえると、この攻撃を回避することが容易ではないとFBI自身も事実上認めています。根本的な解決には、このような認証転送を可能にするセキュリティの抜け穴を塞ぐためのMicrosoft側の対応が必要ですが、現時点では、被害を受けた方はこちらから被害を報告することしかできない状況です。
