Microsoftが338のフィッシングサイトを差し押さえ。盗まれたのは少なくとも5,000件の認証情報だった

Microsoftが338のフィッシングサイトを差し押さえた

2025年9月、Microsoft は RaccoonO365 と呼ばれるフィッシング基盤に関連する 338 のサイトを差し押さえたと公表しました。Reuters では同件を約340サイトとして報じています。

Microsoft の説明では、この基盤は Microsoft 365 のログイン画面を装ったページを使い、認証情報をだまし取るために利用されていました。単発の詐欺サイトではなく、複数の攻撃者が使える『フィッシングの販売基盤』だった点が特徴です。

盗まれたのは『アカウント』ではなく、まず認証情報だった

この件で重要なのは、最初に盗まれるのが認証情報だということです。フィッシングページにメールアドレスやパスワードを入力した時点で、攻撃者にとっては十分な入口になります。

Microsoft は、少なくとも 5,000 件の Microsoft 認証情報が盗まれていたと説明しています。さらに、この基盤は大規模な税務テーマのキャンペーンにも使われ、2,300 を超える米国組織が標的にされたとされています。

• メールアドレス
• パスワード
• 場合によってはセッション情報や追加認証の手がかり
• 組織名や役職など、次の詐欺に使える周辺情報

なぜメールアドレス1つから被害が広がるのか

メールアドレスは単なる連絡先ではありません。多くのサービスでログインIDやパスワード再設定の起点になっているため、一度入口として押さえられると影響が広がりやすくなります。

• 仕事用サービスのログインIDとして使われる
• 個人用サービスの再設定メールが届く
• 過去の漏えい情報と組み合わせて試される
• 本人になりすました追加攻撃の足がかりになる

安全なサービスを使っているかどうかより先に、『その入口として使っているメールアドレスがどう扱われているか』が問題になることがあります。

今回の件が示しているのは『攻撃の民主化』に近い構図

RaccoonO365 は、専門的な攻撃者だけの道具ではなく、フィッシングを『使いやすい形で提供する』基盤として説明されています。つまり、攻撃そのものの難易度より、誰でも似た手口を展開しやすくなることが問題です。

これは個人にとっても無関係ではありません。有名企業のログイン画面に似せたページ、急がせる文面、正規の通知に見えるメール。こうした手口は規模を問わず広がります。

被害は金融や個人利用だけにとどまらない

Microsoft は、この基盤が少なくとも 20 の米医療機関に対して使われていたことにも触れています。つまり、認証情報の窃取は個人の困りごとで終わらず、組織の業務や安全にもつながります。

ここで見えてくるのは、アカウント情報の流出が単なる『パスワードの問題』ではないということです。入口を取られると、その先の人間関係、業務、データ、連絡網まで連鎖し得ます。

今すぐ確認したいサイン

• 身に覚えのないログイン通知がある
• パスワード再設定メールが増えた
• 同じメールアドレスを複数サービスで長く使っている
• 過去に仕事用・個人用の両方で同じパスワード系統を使っていた
• 自分のメールアドレスがどこで漏れているか把握していない

この事件を自分ごとに変えるなら、まず確認すべきは『漏れているかどうか』

今回の事件が示しているのは、攻撃者が最初に欲しがるのは派手な個人情報より、まず使える入口だということです。メールアドレスはその入口になりやすく、過去の漏えい情報に含まれていると、別の攻撃に再利用される可能性があります。

だからこそ、最初に確認したいのは『自分のメールアドレスが過去の漏えい情報に含まれていないか』です。状態を知らないままより、知ったうえでパスワード変更や二段階認証の見直しをする方が動きやすくなります。

情報源

• Microsoft『Microsoft seizes 338 websites to disrupt rapidly growing RaccoonO365 phishing service』（2025-09-16）
• Microsoft『Inside the takedown of RaccoonO365: How Phishing-as-a-Service fuels ransomware's engine』（2026-01-20）
• Reuters『Microsoft seizes 340 websites linked to growing phishing subscription service』（2025-09-16）