ハッカーは、あまり知られていないMicrosoft認証機能を急速に悪用して企業アカウントを乗っ取っており、デバイスコードフィッシングが脅威環境全体で急増しています。
この活動の急増は、犯罪ツールキットとフィッシング・アズ・ア・サービス(PhaaS)プラットフォームの公開リリースと密接に関連しており、かつては不明瞭だった手法が広く利用可能になっています。
新しいキットはほぼ毎週出現しており、その多くはAI支援の「バイブコーディング」を使用して生成または改善されているもので、攻撃者は既存ツールを複製または若干修正して、ほぼ同一の攻撃チェーンを大規模に作成しています。
デバイスコードフィッシングは認証情報収集の自然な進化を表しています。組織がパスワード盗難とMFAバイパス手法に対する防御を改善するにつれて、攻撃者は正当な認証ワークフローを悪用する方法へシフトしています。
認証情報を直接盗む代わりに、攻撃者はユーザーを騙して悪意のあるアプリケーションを承認させ、攻撃者に即座に疑わしさを起こさないまま永続的なアクセスを与えます。
Proofpointのセキュリティ研究者は、攻撃者がOAuthデバイス認可フローを悪用してMicrosoft 365アクセストークンを盗み、従来のフィッシング防御をバイパスする隠密なアカウント乗っ取りが可能であることを警告しています。
典型的なキャンペーンでは、被害者はリンク、添付ファイル、またはQRコードを含むフィッシングメールを受け取ります。これらのメッセージは、Microsoft、DocuSign、またはAdobeなどの信頼できるブランドを装うことが多いです。
クリックされると、リンクは正当なMicrosoftデバイスログインプロセスを開始します。ユーザーには一意のデバイスコードが表示され、公式のMicrosoftデバイスログインページでそれを入力するよう指示されます。
攻撃はここで成功します。コードを入力することで、被害者は知らない間に攻撃者が管理するアプリケーションを承認してしまいます。
ハッカーがOAuthデバイスを悪用
その後、Microsoftは被害者のアカウントに関連付けられた認証トークンを発行し、攻撃者はそれらをキャプチャしてメール、クラウドデータ、および他の接続されたサービスにアクセスするために使用します。
最近の急増を推進する重要な革新は、オンデマンドデバイスコード生成です。攻撃の以前のバージョンは、15分以内に期限切れになる事前生成されたコードに依存していたため、成功率が制限されていました。
最新のフィッシングキットは、被害者がリンクをクリックしたときにコードを動的に生成し、攻撃者が有効期限ウィンドウについて心配することなく、いつでもユーザーをターゲットにすることができます。
EvilTokensのようなプラットフォーム(2026年初期にTelegramで初めてアドバタイズされました)は、このプロセスを産業化しました。サービスは、ビジネスメール侵害(BEC)キャンペーンをスケーリングできる既製のフィッシングテンプレート、インフラストラクチャ、および自動化ツールを提供します。
アフィリエイトは、専用ダッシュボードを通じて複数の侵害されたMicrosoft 365アカウントを管理することもできます。
脅威のあるアクターは、デバイスコードフィッシングと「アカウント乗っ取りジャンピング」を組み合わせています。ここで、侵害されたメールアカウントが内部的に使用されたり、信頼できる連絡先にフィッシングメッセージを拡散させたりします。メッセージが正当なソースからのように見えるため、これは成功の可能性を大幅に増加させます。
TA4903として追跡されるある注目すべきアクターは、2026年にほぼ完全にデバイスコードフィッシングにシフトしました。最近のキャンペーンでは、グループはHR部門と政府機関を装い、QRコードを含むPDF添付ファイルを配布しました。
これらのコードは、被害者をクラウドホストインフラストラクチャ経由で説得力のあるフィッシングページにリダイレクトし、デバイス認可プロセスをガイドしました。
興味深いことに、一部のキャンペーンは運用セキュリティの低さの兆候を示しています。研究者は、メッセージ本体が空白のメールと公開されたインフラストラクチャの詳細を観察し、多くの攻撃者が自動またはAI生成ツールに大きく依存していることを示唆しており、それらを完全に理解していません。
この傾向はまた、サイバー犯罪エコシステムにおけるより広いシフトを反映しています。Tycoon 2FAのような従来の中間者攻撃(AiTM)フィッシングサービスの中断に続き、多くのオペレーターはデバイスコードフィッシングにピボットしました。
ODxやKali365などの競合プラットフォームはデバイスコード機能を統合し、採用をさらに加速させています。
急速な成長にもかかわらず、この手法は社会工学に大きく依存しています。前の「ClickFix」トレンドと同様に、被害者は信頼できるプラットフォームにコードをコピーまたは入力することを確信させられる必要があります。
4月に観察された1つのキャンペーンでは、脅威のあるアクターはSharePointドキュメントを装ったPDFを配布し、デバイスコードランディングページへのURLでリンクしていました。
Microsoftのログインプロセスの親しみやすさがこれらの攻撃を特に効果的にします。ユーザーは日常的な認証ステップを完了していると信じています。
成功した攻撃は、完全なアカウント乗っ取り、データ盗難、詐欺、企業環境内での横展開をもたらす可能性があります。場合によっては、盗まれたトークンを通じて取得されたアクセスがランサムウェアまたは長期的なスパイ活動を起動するために使用されています。
セキュリティ専門家は、使用されるツールキットに関係なく、防御が一貫していることを強調しています。組織は、条件付きアクセスポリシーを通じてデバイスコード認証フローを制限またはブロックするか、信頼できるデバイス、ユーザー、およびネットワークの場所への使用を制限することによってリスクを軽減できます。
攻撃者が革新を続けるにつれて、認証ワークフローに対する認識と制御は、最新のクラウド環境を防御するために重要になっています。
侵害の兆候
| インジケーター | 説明 | 初認時刻 |
| onedrive-7tu[.]techroboticslabmade-techie-com-s-account[.]workers[.]dev | EvilTokens デバイスコードフィッシング ランディング | 2026年3月26日 |
| voicemail-59f[.]admin-treyripple-com-s-account[.]workers[.]dev | EvilTokens デバイスコードフィッシング ランディング | 2026年3月24日 |
| voicemail-wx7[.]mark-squires-expressrancnes-com-s-account[.]workers[.]dev | EvilTokens デバイスコードフィッシング ランディング | 2026年3月24日 |
| voicemail-lyr[.]nbuckley-cambek-com-s-account[.]workers[.]dev | EvilTokens デバイスコードフィッシング ドメイン | 2026年3月24日 |
| f8uh-dwam-j4l5[.]pvasquez-princetonpartners-com-s-account[.]workers[.]dev | EvilTokens デバイスコードフィッシング ランディング | 2026年5月1日 |
| ytgw-9n30-xlwd[.]pvasquez-princetonpartners-com-s-account[.]workers[.]dev | EvilTokens デバイスコードフィッシング ランディング | 2026年5月1日 |
| z6e43e5886fe-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| 019d442e-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| jo2c9ada427c6-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| 7806d4cf9366-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| ee10bbf6c689-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| yaga9b286ae2c101-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| f36c2774f013-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| 2dc62559e005-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| 4daa2aea93db-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| ed5ce47d835f-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| 6dd5fd945b34-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| 0fdba029e6a5-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| 019d442a-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| 019d6860-endpoint[.]com | デバイスコードフィッシング ドメイン | 2026年5月5日 |
| stablewebsystems[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| marktkarree-langenfeld[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| crediblebizextension[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| servicewithoutinterruption[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| marketcredibilitysignals[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| kohlhoff-edelstahlverarbeitung[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| reliablesupport[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| europetrustwave[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| trustedengagement[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| methodicalness[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| extendyourcredibility[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| europesignaltrust[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| consistentdigital[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| uninterruptedperformance[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| digitalcontinuity[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| digitalreliability[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| heilbronner-fruehlingssymposium[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| reliableinteractions[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| euromarketsignal[.]de | ODx デバイスコードフィッシング ドメイン | 2026年4月30日 |
| audit-report-9767d3[.]fullerjp09[.]workers.dev | TA4903 デバイスコードフィッシング ランディング | 2026年4月15日 |
| hti-245401512[.]hs-sites-na2[.]com | TA4903 デバイスコードフィッシング ランディング | 2026年4月5日 |
| 7740f766-8d1d-46ad-a6bc-onedrive[.]p-9jluifuu[.]workers[.]dev | ARToken デバイスコード ランディング | 2026年5月2日 |
| panel[.]hewktree[.]net | ARToken デバイスコード パネル | 2026年5月2日 |
注: IPアドレスとドメイン は意図的に難読化されています(例:[.])。誤った解決またはハイパーリンクを防止するため。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ難読化を解除してください。
翻訳元: https://gbhackers.com/hackers-exploit-oauth-device/
