FBI警告の「Kali365」フィッシング対策|フィリピン進出日本企業のMicrosoft 365防御
FBIが警告した新型フィッシング「Kali365」は多要素認証を突破しMicrosoft 365を乗っ取ります。フィリピン進出日本企業やBPO拠点が在宅勤務環境で取るべき具体的なセキュリティ対策と現地の届け出ルールを解説します。
運営者・AIエンジニア / IT歴36年以上・マニラ在住13年以上
FBIが警告した「Kali365」フィッシング — パスワードなしでMicrosoft 365が乗っ取られる新手口とフィリピン企業の備え
パスワードを盗まずにMicrosoft 365を乗っ取る新型フィッシング「Kali365」の手口と、在フィリピン日本企業が今すぐ取るべきセキュリティ対策をわかりやすく解説します。
Part 1: このテーマが重要な理由
Step 1: フィリピンビジネスでの背景 (3分)
フィリピンに進出する日本企業の多くが、Microsoft 365(OutlookやTeams、OneDriveなどをまとめたクラウドサービス)を使っています。日本本社とのやり取りや、現地スタッフとの連絡、書類の共有まで、業務の中心がこのサービスに集まっています。
だからこそ、今回FBI(アメリカ連邦捜査局)が警告した新しいフィッシング攻撃は、フィリピンで働く日本人にとって他人事ではありません。この攻撃は、パスワードを盗まなくてもアカウントを乗っ取れるという、これまでとは違う特徴を持っています。
フィリピンは、コールセンターや事務作業を請け負うBPO(業務を外部委託で代行する産業)が盛んな国です。多くの社員が在宅で働き、個人の端末から会社のアカウントにアクセスする場面も多いため、こうした攻撃の標的になりやすい環境だといえます。
マニラのオフィスで、あなたは情報システム担当の同僚にこの記事を見せています。「ねえ、これ見てください。パスワードを盗まれなくてもアカウントが乗っ取られるそうです。うちのチームもTeamsとOutlookを毎日使っているので、注意喚起した方がいいと思うんですが、どうでしょう?」
Step 2: 元記事の要点を整理する (5分)
元記事の事実をもとに、主要なポイントを表にまとめました。
| 項目 | 内容 |
|---|---|
| 警告した機関 | FBI(アメリカ連邦捜査局) |
| 標的のサービス | Microsoft 365(Outlook、Teams、OneDrive など) |
| 攻撃キットの名前 | Kali365 |
| 最大の特徴 | パスワードを盗まず、認証トークンを奪ってアカウントに侵入する |
| 突破される防御 | 多要素認証(複数の方法で本人確認する仕組み) |
| 狙われる仕組み | OAuthデバイスコード(パスワードなしでアプリの利用を許可する仕組み) |
| 初めて確認された時期 | 2026年4月 |
| 販売経路と価格 | Telegram経由で月250ドル、または年2,000ドルから |
| 被害の規模 | 2026年4月だけで数百件の攻撃が報告された |
| 攻撃の入口 | 信頼できるサービスを装ったメールに、デバイスコードを入力させる手口 |
この表は学習目的で公開情報の事実をもとに作成したものです。詳細は上記リンクの元記事をご確認ください。
関連: フィリピンでAIを導入したい日本人経営者が知るべき実践ガイド で詳しく解説しています。
Step 3: 理解度チェック (5分)
Q1: Kali365による攻撃が、これまでのフィッシングと大きく違う点は何でしょうか。 (ヒント:盗まれるものが「パスワード」ではない点に注目してください。)
Q2: Kali365は、どのようにして本人確認の仕組みを突破するのでしょうか。 (ヒント:多要素認証と、OAuthデバイスコードという言葉を思い出してください。)
Q3: この攻撃キットは、どこで、いくらで販売されていますか。 (ヒント:販売の場と、月額・年額の金額が記事に出ています。)
Q4: 攻撃を仕掛ける犯人には、高い技術力が必要でしょうか。 (ヒント:FBIは「参入の壁を下げる」と表現していました。)
Q5: 被害者は、最初にどのような形で攻撃に巻き込まれますか。 (ヒント:信頼できるサービスを装った、ある連絡から始まります。)
関連: フィリピン市場に最適化したAI導入ロードマップ|現地の実情を踏まえた実践ガイド で詳しく解説しています。
Part 2: 実務への応用
Step 4: フィリピンでの導入ステップ (10分)
この攻撃から会社とチームを守るための進め方を、順を追って説明します。フィリピンならではの注意点も一緒に確認しましょう。
| ステップ | 内容 | フィリピンでの注意点 |
|---|---|---|
| 1. 現状を把握する | 誰がどの端末でMicrosoft 365を使っているかを一覧にします | 在宅勤務が多く、私物の端末を使う社員もいるため、まず実態を確かめます |
| 2. 設定を見直す | 知らないアプリの接続を許可しない設定に変えます | 設定変更は本社のIT部門と相談し、現地だけで判断しないようにします |
| 3. 社員に説明する | 偽メールの見分け方を、具体例を見せて伝えます | 英語と日本語の両方で資料を用意し、現地スタッフにも伝わるようにします |
| 4. 訓練を行う | 偽メールを模した練習メールを送り、反応を確かめます | 訓練ツールは月あたり数百ペソから使えるものもあり、規模に合わせて選びます |
| 5. 事故への備えを決める | 万一乗っ取られたときの連絡先と手順を決めておきます | 個人情報の漏洩はNPC(個人情報を守る政府機関)への届け出が必要になる場合があります |
Step 5: よくある失敗と対策 (5分)
失敗パターン1: 「多要素認証を入れたから安心だと思い込む」
多要素認証を導入しただけで、もう大丈夫だと考えてしまう失敗です。今回の攻撃は、その多要素認証をすり抜けてしまうため、油断が命取りになります。
NG例:「うちは多要素認証を使っているので、フィッシングの心配はありません。」
OK例:「多要素認証は大切ですが、それでも突破される手口があります。だから社員への注意喚起も続けます。」
失敗パターン2: 「日本語の資料だけで注意喚起を済ませる」
本社から届いた日本語の注意喚起を、そのまま現地に流して終わりにする失敗です。現地スタッフに内容が伝わらず、対策が浸透しません。
NG例:「本社からの日本語メールを、そのままチーム全員に転送しておきました。」
OK例:「本社の内容を英語にも訳し、具体的な偽メールの画面を見せながら説明しました。」
失敗パターン3: 「事故が起きてから対応を考え始める」
アカウントが乗っ取られてから、初めて連絡先や手順を探し始める失敗です。対応が遅れ、被害が広がってしまいます。
NG例:「もし何か起きたら、そのとき本社に聞けば大丈夫でしょう。」
OK例:「乗っ取りに気づいたら誰に連絡し、何を止めるかを、あらかじめ一枚の手順書にまとめておきました。」
Part 3: さらに深く学ぶ
Step 6: 関連する技術用語 (5分)
フィッシング(phishing/偽メールなどでだます攻撃)は、本物そっくりのメールやサイトを使って、相手から情報やアクセス権をだまし取る手口です。フィリピンのオフィスでは、銀行や宅配業者を装った偽メールも多いため、社員に「リンクをすぐ押さない」習慣を伝えることが大切です。
多要素認証(MFA/複数の方法で本人確認する仕組み)は、パスワードに加えてスマホへの通知や確認コードなど、二つ以上の方法で本人かどうかを確かめる仕組みです。現地採用のスタッフが増えるフィリピンの会社では、入社時にこの設定を必ず済ませておくと安心です。
OAuthデバイスコード(パスワードなしでアプリの利用を許可する数字の合言葉)は、テレビなどパスワードを打ちにくい機器でアプリを使えるようにするための仕組みです。今回の攻撃はここを悪用するため、フィリピンの担当者には「身に覚えのないコードは絶対に入力しない」と伝えておきましょう。
認証トークン(ログイン状態を証明する電子的な通行証)は、一度ログインした人が、その後パスワードを打ち直さずに使い続けられるようにするための電子的な札です。これを奪われると乗っ取られるため、フィリピンの拠点でも、不審な接続を見つけたらすぐ無効にできる体制を整えておきます。
サービスとして売られる攻撃キット(cybercrime-as-a-service/攻撃の道具を月額で貸し出す商売)は、技術のない人でもお金を払えば攻撃を始められる仕組みです。Kali365もこの形で月額や年額で売られているため、フィリピンの中小企業も「自分は狙われない」と考えず、基本の備えをしておく必要があります。
Step 7: 自社への応用を考える (10分)
自社のMicrosoft 365がどこまで守られているかを確かめる
自分の会社で、誰がどのアプリにアクセスできるのかを把握できているでしょうか。
考えるヒント:許可した覚えのない外部アプリが、アカウントにつながっていないかを確認してみましょう。
次のアクション: 本社のIT部門に依頼し、現地拠点のアカウントに接続している外部アプリの一覧を一度出してもらいましょう。
現地スタッフに伝わる注意喚起の形を考える
日本語の資料だけで、フィリピンのスタッフに本当に伝わっているでしょうか。
考えるヒント:言葉の壁だけでなく、どんな例なら現地の人がイメージしやすいかを考えてみましょう。
次のアクション: 実際に届きそうな偽メールの画面を一枚用意し、英語の短い説明を添えて共有してみましょう。
乗っ取られたときの初動を決めておく
もし明日アカウントが乗っ取られたら、最初に誰が何をするかを即答できるでしょうか。
考えるヒント:連絡の順番と、止めるべきことを、紙一枚にまとめられるか試してみましょう。
次のアクション: 連絡先と最初の手順を書いた一枚の対応手順書を作り、チーム全員がすぐ見られる場所に置きましょう。
Part 4: FAQ
Q1: パスワードを複雑にしておけば、この攻撃は防げますか。 A: 残念ながら、複雑なパスワードだけでは防げません。今回の攻撃は、パスワードそのものを狙わず、ログイン後の通行証にあたる認証トークンを奪うからです。フィリピンの拠点でも、社員に「身に覚えのないコードは入力しない」と伝えることが、より効果的な備えになります。
Q2: 多要素認証を入れていれば、もう対策は十分でしょうか。 A: 多要素認証はとても重要ですが、今回の手口はそれをすり抜けます。日本では多要素認証を入れて安心しがちですが、フィリピンでは在宅勤務や私物の端末の利用が多いため、設定に加えて、社員への注意喚起を続けることが欠かせません。
Q3: もしアカウントが乗っ取られたら、フィリピンでは何か届け出が必要ですか。 A: 個人情報の漏洩が起きた場合は、NPC(個人情報を守る政府機関)への届け出が必要になることがあります。日本の感覚で本社にだけ報告して済ませず、現地の決まりに沿って対応することが大切です。事前に、誰がこの判断をするかを決めておきましょう。
Q4: 小さな現地法人でも狙われるのでしょうか。 A: はい、規模の大小に関わらず狙われます。今回の攻撃キットは月額で安く売られていて、技術のない犯人でも手を出せるからです。フィリピンの中小規模の拠点こそ、お金をかけなくてもできる基本の備えから始めましょう。
Q5: 現地スタッフへの教育は、どのように進めればよいですか。 A: 言葉で説明するだけでなく、実際に届きそうな偽メールの画面を見せると伝わりやすくなります。フィリピンでは口頭での合意だけで進みがちな場面もありますが、注意点は英語の文書にして残し、いつでも見返せるようにしておくと安心です。
活用のコツ(3 Tips)
-
まず「身に覚えのないコードは入力しない」を合言葉にしましょう。 今回の攻撃は、利用者が自分でコードを入力してしまう瞬間に成立します。この一言をチームで共有するだけで、被害をかなり減らせます。
-
注意喚起は、必ず偽メールの実物の画面とセットで伝えましょう。 文章だけの説明よりも、本物そっくりの画面を見せた方が、現地スタッフの記憶に残ります。月数百ペソから使える訓練ツールを併用すると、効果がさらに高まります。
-
乗っ取られた後の初動を、紙一枚にまとめておきましょう。 事故が起きてから手順を探すと、対応が遅れて被害が広がります。連絡先と最初にすべきことを一枚に書き、NPCへの届け出が必要かどうかの判断役も先に決めておきましょう。
ボーナス: PH AI Worksの活用法
PH AI Worksは、フィリピンで事業を行う日本企業に向けて、AIとテクノロジーを使った業務の改善やセキュリティ対策の支援を行っています。現地の事情に合わせた形で、無理なく始められる仕組みづくりをお手伝いします。
次のステップとして、たとえば以下のような内容をご相談いただけます。
- 自社のMicrosoft 365の設定を見直し、危険な接続が残っていないかを確認したい場合
- 現地スタッフ向けに、英語と日本語の両方で使える注意喚起の資料や訓練を整えたい場合
- アカウントが乗っ取られたときの対応手順書を、フィリピンの決まりに沿って作りたい場合
まずはお気軽にお問い合わせください。無料でご相談いただけます。
参考・出典
この記事を書いた人
運営者 / AIエンジニア(IT歴36年以上)
- ●東京都出身・マニラ在住13年以上
- ●IT歴36年以上(開発・SEO・AI)
- ●IBM認定 生成AIエンジニア
- ●AIチャットボット・RAG・AIエージェント開発
IT歴36年以上、マニラでの実務経験13年以上の日本人AIエンジニア(運営者)です。AIチャットボットや業務自動化、AIエージェント、生成AIマーケティングなど、フィリピンの日系企業が「成果に直結するAI」を導入できるよう、現場目線で記事を書いています。ご相談は日本語・英語どちらでも対応します。