M365フィッシングに悪用されるOAuthアプリ

janews – Shutterstock.com

脅威アクターは、Microsoft 365アカウントを侵害するための新しく巧妙な方法を見つけました。Proofpointの調査によると、彼らはますます偽のOAuthアプリケーションを作成し、SharePointやDocuSignなどの信頼できるブランドを模倣しています。これらのアプリの「本物」は、MicrosoftのIDプラットフォーム（Azure AD / Entra ID）を利用して、Microsoft 365、OneDrive、Outlook、Teams、SharePointのデータにアクセスします。攻撃者の狙いは、ユーザーに偽アプリのアクセス要求を承認させ、アカウント情報を侵害することです。

「攻撃者が偽のMicrosoft OAuthアプリや悪意のあるURLへのリダイレクトを作成し、認証情報を入手しようとする一連の活動を特定しました」とProofpointはブログ記事で説明しています。

M365のMFAバイパスはこうして行われる

Proofpointによると、偽アプリには説得力のあるロゴや権限要求が使われています。ユーザーがこのような偽の要求を承認すると、Captchaを経て偽のMicrosoftログインページに誘導されます。このステップは、Proofpointによればアンチボット対策であり、自動スキャナーによる攻撃検知を防ぐためのものです。しかし裏では、TycoonやODxといったフィッシングキットがログイン情報やセッショントークンを収集します。これにより攻撃者は多要素認証（MFA）を回避し、Microsoft 365アカウントへの恒久的なアクセスを得ることが可能になります。「攻撃者はこれを利用して情報を収集したり、ネットワーク内を横断したり、マルウェアをインストールしたり、侵害したアカウントを使ってさらなるフィッシング攻撃を仕掛けたりする可能性があります」とセキュリティ専門家は述べています。

この攻撃手法が特に危険なのは、OAuthトークンがパスワードリセット後も有効なまま残る点だと彼らは強調しています。「このように侵害されたユーザーがパスワードを変更しても、攻撃者は引き続き付与された権限を利用できます。そのため、OAuthトークンが無効化されるまで、メールやファイル、その他のクラウドサービスにアクセスできてしまいます」とProofpointは警告しています。

このキャンペーンでは、セキュリティベンダーによると、RingCentral、SharePoint、Adobe、DocuSignなど50以上の有名ブランドが悪用されています。一部の誘導では「あなたのプロフィールの表示」や「あなたが許可したデータへのアクセス維持」など、一見無害な権限が要求されていました。

Proofpointは、これらの知見を踏まえ企業に以下を推奨しています：

• ビジネスメール詐欺（BEC）への有効な対策の実施
• クラウド環境への不正アクセスのブロック
• メール内の潜在的に悪意のあるリンクの隔離

さらに、Microsoft 365のセキュリティリスクについてユーザー教育を行い、FIDOベースの物理セキュリティキーによる認証強化も有効だと専門家は述べています。セキュリティ専門家は2025年初頭にこれらの知見をMicrosoftに報告済みで、Microsoftは2025年7月からMicrosoft 365のデフォルト設定の変更を開始しています。これにより、今後はサードパーティアプリへのアクセスを本記事で説明した手法で悪用することが大幅に困難になる見込みです。（tf/fm）