リアルタイムフィッシングが多要素認証を中継して突破する仕組み
対象の目安: 一般利用者から情報システム担当まで

リアルタイムフィッシングは、利用者が偽サイトに入力したIDやパスワード、ワンタイムパスワード(OTP)を、攻撃者がその場で正規サイトへ中継してログインを成立させ、発行されたセッションを乗っ取る手口です。攻撃者は利用者と正規サイトのあいだに入り、入力された情報をそのまま正規サイトへ送り込みます。中間者型フィッシング、あるいはAiTM(Adversary-in-the-Middle)とも呼ばれ、パスワードだけでなく第二要素まで中継されるため、多要素認証(MFA)を設定したアカウントでも突破されうる点が従来のフィッシングとの違いです。
この手口がなぜMFAを越えてしまうのかは、攻撃の構造を追うと理解できます。Microsoftは2022年の解析で、攻撃者が利用者と正規サイトのあいだにプロキシサーバを置き、パスワードと認証後のセッションCookieを盗む仕組みを報告しました。本記事は、リアルタイムフィッシングとは何か、偽サイトがどのようにOTPを中継してMFAを突破するのか、なぜOTPやSMSでも突破されうるのか、ネットバンキング不正送金の現況、そしてどう見分けて防ぐのかを、一次情報をもとに整理します。
リアルタイムフィッシングとは何か
リアルタイムフィッシングは、攻撃者が利用者と正規サイトのやり取りをその場で中継する点に特徴があります。従来のフィッシングは、偽サイトで入力されたIDやパスワードをいったん保存し、攻撃者が後からそれを使ってログインを試みる形が一般的でした。この形では、ログイン時にOTPやSMSの認証コードを求められると、攻撃者の手元には有効なコードがないため、MFAが壁になりました。
リアルタイムフィッシングは、この時間差をなくすことでMFAの壁を越えようとします。攻撃者が用意するのは、入力された情報を保存するだけの偽サイトではなく、正規サイトへの通信をその場で取り次ぐリバースプロキシ型のフィッシングサイトです。利用者から見える画面は正規サイトの表示をそのまま映したものに近く、入力した内容は攻撃者のサーバを経由して正規サイトへ届きます。Microsoftの解析では、フィッシングページが利用者側と正規サイト側の双方とTLSセッションを保ち、そのあいだを流れる情報を抜き取ると報告されています。
こうした中継を担う仕組みは、道具として用意されてきました。Microsoftは2022年の解析で、AiTMの機能を備えたフィッシングキットが用いられ、MFAを設定した多数の利用者に対しても攻撃が行われたと報告しています。さらに2026年の解析では、侵害したアカウントを起点に大量のフィッシングを送りつけ、複数の組織へ横展開したAiTM/BECのキャンペーンが報告されました。攻撃の難所だったMFA突破が道具立てとして扱われるようになったことが、この手口が続く背景にあります。
偽サイトがOTPを中継してMFAを突破する流れ
リアルタイムフィッシングの動きは、攻撃者の中継操作を軸に進みます。攻撃者はまず、メールやSMS、検索連動広告などで利用者を偽サイトへ誘導します。利用者が偽サイトでIDとパスワードを入力すると、偽サイトはその情報を即座に正規サイトへ送り、利用者の代わりにログインを試みます。
正規サイトはMFAが設定されていればOTPやSMSの認証コードを要求します。このとき攻撃者は、正規サイトからの認証要求を利用者の画面へそのまま見せます。利用者は正規サイトとやり取りしているつもりでOTPを入力し、そのコードは攻撃者を経由して正規サイトへ届きます。コードが有効期限内であれば認証は成立し、正規サイトは認証済みの証としてセッションCookieを発行します。
攻撃者の狙いは、このセッションCookieを奪うことにあります。Microsoftは、攻撃者が認証完了後に発行されるセッションCookieを盗み、それを自分のブラウザに取り込むことで、再度の認証を経ずに認証済みの状態を再現すると報告しています。一度Cookieを手に入れれば、攻撃者はパスワードやOTPを改めて入力せずにアカウントへ入れます。利用者がログインを終えた直後に、攻撃者が同じアカウントへ入り込んでいる状態が生まれます。
攻撃者が中継してMFAを突破するまで
- 1
メールやSMS、広告で利用者を正規サイトそっくりの偽サイトへ誘導する
- 2
利用者が入力したIDとパスワードを、偽サイトが即座に正規サイトへ送ってログインを試みる
- 3
正規サイトが出すOTPやSMSの認証要求を利用者の画面に見せ、入力されたコードを正規サイトへ中継する
- 4
認証成立後に発行されたセッションCookieを奪い、攻撃者のブラウザに取り込む
- 5
再度の認証を経ずに認証済み状態を再現し、アカウントを操作する
なぜOTPやSMSでも突破されうるのか
OTPやSMSの認証コードが突破されうる理由は、これらが「その時点で有効な使い捨ての文字列」であることにあります。コードは一定時間内なら誰が入力しても認証に通るため、利用者が入力したコードを攻撃者がその場で正規サイトへ中継すれば、有効期限が切れる前に使われて認証が成立します。コードを盗まれたというより、有効なコードが本人の手を離れて即座に使われたという構造です。
ここで押さえておきたいのは、これがOTPやSMSという仕組みそのものを破る攻撃ではないという点です。攻撃者はコードの暗号やアルゴリズムを解読するのではなく、偽の検証者として利用者と正規サイトの間に入り、入力された認証要素をその場で正規サイトへ中継して認証を成立させ、発行されたセッションを取得します。MFAはパスワードが漏れても第二要素で守る仕組みとして有効であり、単純なパスワード使い回しや、コードを後から盗むだけの手口には引き続き効果があります。リアルタイムフィッシングが越えるのは、利用者がその場で偽サイトに認証要素を渡してしまうという、人を挟んだ経路です。ただし、後述するように、認証がドメインに紐づくパスキーやFIDO2では、この中継が成立しにくくなります。
一方で、すべてのMFA方式が同じように中継されるわけではありません。FIDO2やパスキー(WebAuthn)は、認証の応答が接続先のドメイン(RP IDやオリジン)に暗号的に結び付けられ、登録したドメインと一致しなければ正規サイト向けの認証として成立しない仕組みになっています。偽サイトのドメインは正規サイトとは異なるため、利用者が偽サイトで操作しても正規サイト向けの認証応答は作られず、攻撃者が中継しても通りません。Microsoftも、AiTMのようなプロキシを介した攻撃への対策として、FIDO2をはじめとするフィッシング耐性のある認証方式を推奨しています。ただしこれは認証のフィッシングに耐性があるという意味で、すでに盗まれたセッションCookieの悪用や、端末そのものの侵害、脆弱なアカウント復旧経路までを防ぐものではありません。この「ドメインに紐づくため偽サイトでは成立しにくい」という性質が、後述する構造的な対策の根拠です。
ネットバンキング不正送金の現況
リアルタイムフィッシングが直接の利益に結びつきやすい場面が、ネットバンキングの不正送金です。攻撃者は奪った認証済みセッションを使って口座にアクセスし、攻撃者の管理する口座へ送金します。ただし、銀行によってはログインとは別に、送金の実行時にもOTPや取引内容に紐づく認証(取引認証)を求めます。その場合はログイン用のセッションだけでは送金まで届かないこともありますが、リアルタイムフィッシングでは、送金時に求められる追加の認証コードまで同じ要領でその場で中継し、入力させて突破しようとします。
警察庁は、令和7年上半期(2025年1月から6月)のインターネットバンキングに係る不正送金事犯について、被害額が約42億2,400万円と上半期として過去最悪のペースで推移し、その手口の約9割をフィッシングが占めると報告しています。同庁は、フィッシングで詐取した認証情報を悪用する不正送金が被害の中心であるとしており、フィッシング対策がネットバンキングの防御に直結する状況です。IPAの情報セキュリティ10大脅威2026でも、個人向けの脅威として「フィッシングによる個人情報等の詐取」と「インターネットバンキングの不正利用」がともに選ばれており、両者が結びついた被害が継続していることがうかがえます。
法人口座も標的になっています。警察庁は、犯罪グループが企業へ電話をかけてネットバンキングの更新手続などをかたり、フィッシングへ誘導するボイスフィッシング(ビッシング)の手口を報告しています。電話で信頼させてから偽サイトへ導く流れは、利用者が偽サイトを正規と思い込んだまま認証情報やOTPを入力してしまう点で、リアルタイムフィッシングが成立しやすい状況を作ります。
偽サイトを見分け、構造で防ぐ
リアルタイムフィッシングへの最も確実な対策は、偽サイトに認証情報やOTPを入力しないことと、入力されても突破されにくい認証方式を使うことの二つです。前者は入口を断つ対策、後者は入口を抜かれても成立を防ぐ構造的な対策にあたります。
入口を断つうえでまず徹底したいのは、メールやSMSのリンクから認証画面に入らないことです。リンク先のドメインが正規かどうかを利用者がその場で見抜くのは難しく、リアルタイムフィッシングの偽サイトは見た目が正規サイトとほぼ変わりません。ネットバンキングやサービスへは、公式アプリや自分で登録したブックマークなど、あらかじめ確かめた経路からアクセスする習慣が確実です。リンクを踏まないという基本は、フィッシング対策全体の土台になります。
あわせて読みたい
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
入口を抜かれても突破を防ぐ構造的な対策が、フィッシング耐性のある認証方式の利用です。FIDO2セキュリティキーやパスキーは、前述のとおり認証がドメインに紐づくため、偽サイトでは認証情報そのものが成立せず、攻撃者が中継しても正規サイトでは通りません。OTPやSMSが「有効なコードを中継されると突破されうる」のに対し、パスキーやFIDO2は中継そのものが成立しにくいという違いがあります。対応するサービスでは、これらの方式へ切り替えることがリアルタイムフィッシングへの根本的な備えになります。MFAの方式ごとの強度や使い勝手の違いは、導入時に整理しておくと選びやすくなります。それぞれ関連記事で扱っています。
あわせて読みたい
パスキーとは。パスワードのない世界へ、仕組みと使い方・移行を解説
あわせて読みたい
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
万一突破された場合に被害へ早く気づくための備えも組み合わせます。ネットバンキングでは、入出金やログインの取引通知を有効にしておくと、身に覚えのない送金やログインに気づきやすくなります。あわせて明細をこまめに確認し、不審な取引があれば速やかに金融機関へ連絡します。攻撃者が認証済みセッションを得た後の不正送金は短時間で進むため、通知と明細確認は被害の拡大を抑える現実的な手段です。
リアルタイムフィッシングへの備え
- メールやSMSのリンクから認証画面に入らず、公式アプリやブックマークなど確かめた経路からアクセスしているか
- 対応サービスでパスキーやFIDO2セキュリティキーなどフィッシング耐性のある認証へ切り替えたか
- ネットバンキングの入出金やログインの取引通知を有効にしているか
- 明細をこまめに確認し、不審な取引の連絡先を把握しているか
- 端末侵害によるセッション情報の窃取との違いを理解し、感染対策とフィッシング対策の両面で備えているか
なお、認証済みセッションが奪われるという結果だけを見ると、情報窃取型マルウェアによるセッションCookieの窃取と似て見えます。両者は経路が異なります。リアルタイムフィッシングは、偽サイトが利用者の入力をその場で正規サイトへ中継して認証を成立させ、発行されたCookieを奪う手口です。一方の情報窃取型マルウェアは、感染した端末に保存されたパスワードやトークン、ブラウザのセッション情報などを直接抜き取る手口で、偽サイトへの入力を必要としません。対策の重心も、前者はフィッシング対策と認証方式、後者は端末のマルウェア感染対策に寄ります。情報窃取型マルウェアの手口は、関連記事で扱っています。
あわせて読みたい
情報窃取型マルウェアがセッションCookieを盗んで多要素認証を回避する仕組み
本記事のAiTMの仕組みとMFAを突破する機構、フィッシング耐性のある認証の推奨はMicrosoft Security Blogの2022年7月12日および2026年1月21日の解析にもとづきます。ネットバンキング不正送金の現況(令和7年上半期、被害額約42億2,400万円、手口の約9割がフィッシング)は警察庁の情勢報告、脅威の位置づけはIPA情報セキュリティ10大脅威2026にもとづきます。数値や手口の表現は各出典に沿って記載し、確認できない数値は記載していません。
リアルタイムフィッシングの厄介さは、偽の検証者が利用者と正規サイトの間に入り、入力された認証要素をその場で中継して認証を成立させ、発行されたセッションを奪う点にあります。OTPやSMSを設定していても、有効なコードを偽サイト経由でその場で使われると成立しうるため、第二要素の有無だけで安全とは言い切れません。偽サイトに入力しないという入口の習慣と、ドメインに紐づくパスキーやFIDO2という構造的な対策、そして取引通知と明細確認による早期発見を重ねることが、現実的な防御になります。
出典・参考
- 警察庁 令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について(令和7年9月)
- IPA 情報セキュリティ10大脅威 2026(2026-01-29)
- Microsoft Security Blog: From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud(2022-07-12)
- Microsoft Security Blog: Resurgence of a multi-stage AiTM phishing and BEC campaign abusing SharePoint(2026-01-21)
関連する記事
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
依然として被害が絶えないフィッシング詐欺について、典型的な手口とその進化、見破り方、個人と組織それぞれでできる対策、そして万一被害に遭ったときの対応までを、専門知識がなくても分かるように網羅的に解説します。
情報窃取型マルウェアがセッションCookieを盗んで多要素認証を回避する仕組み
情報窃取型マルウェアが保存パスワードやブラウザのセッションCookie、暗号資産ウォレットを盗む手口と、窃取したCookieで認証済みセッションを再現して多要素認証を回避する機構を、一次情報をもとに整理します。感染経路と個人や組織の対策もあわせて解説します。
多要素認証(MFA)の選び方と導入の勘所。方式比較から運用まで徹底解説
パスワード漏えい対策の決め手となる多要素認証(MFA)について、認証要素の考え方、方式ごとの強度と使い勝手の違い、フィッシング耐性、組織導入の進め方、運用とリカバリーの設計までを実務目線で網羅的に整理します。


