Azure ADでの対策例。いずれにせよ認証が通ってしまうということはパスワードも漏洩しているため、必ず変更しましょう:多要素認証(MFA)だけでは守れないフィッシング攻撃の対策 | セキュリティ対策のラック