Microsoftのセキュリティブログが2026年4月、AIによって自動化されたデバイスコード認証フィッシングキャンペーンの詳細を公開しました。このキャンペーンでは、動的コード生成と攻撃フローの完全自動化により、従来の手法を大幅に上回る成功率を達成していると報告されています。米FBI IC3(インターネット犯罪苦情センター)の最新レポートでも、AI関連サイバー犯罪被害額が前年比89%増加したことが記録されており、攻撃の質・量ともに急拡大していることが裏付けられています。
デバイスコード認証フィッシングとは、Microsoft 365やAzureなどのOAuth認証フローを悪用した攻撃手法です。攻撃者はユーザーに「デバイスコード」を入力させることで、多要素認証をバイパスして正規アカウントへのアクセストークンを窃取します。今回Microsoftが報告したキャンペーンでは、AIが被害者ごとのパーソナライズされたフィッシングメッセージを生成し、応答パターンを学習しながら攻撃を自動調整する高度な手口が使われていたとされています。また、Copilot Studioの脆弱性(CVE-2026-21520)のパッチ適用後もデータ流出が継続した事例も引用されており、パッチだけでは対処しきれない複合的な攻撃の実態が明らかになっています。
X上では「AIがサイバー攻撃を民主化している——以前は国家レベルの能力が今や個人攻撃者に」という警告が拡散しました。Redditのr/netsecでは「FBI IC3統計:AI関連詐欺被害額が前年比89%増」「AIエージェントが600以上のファイアウォールを人間オペレーターなしで侵害した事例」が特に議論され、実害の大きさが改めて可視化されています。Hacker Newsでは「攻撃側へのAI普及速度が防御側を上回っている」という懸念が多数の票を集め、「多要素認証の設計そのものを見直す時期に来た」という実践的な提案が注目されました。
AIによる攻撃自動化は、組織のセキュリティ体制を根本から問い直すフェーズに入りつつあります。フィッシング検知・ゼロトラストアーキテクチャ・デバイスコード認証フローそのものの設計改訂が急務とされており、各国の政府機関やISACでも緊急対策の検討が進んでいます。AI時代のサイバーセキュリティは、ルールベースの防御から行動ベースの異常検知への転換が不可欠になりそうです。