eSecurity Planetのコンテンツと商品推奨事項は編集上独立しています。パートナーへのリンクをクリックすると、当社が収益を得る場合があります。 詳細を学ぶ
サイバー犯罪者は、従来のフィッシング防御を回避し、企業のMicrosoft 365アカウントを侵害するための新しい方法として、デバイスコードフィッシングを採用しています。
Proofpointによると、脅威アクターは正規のMicrosoft認証ワークフローを悪用して、従来のフィッシングページを使用せずに認証トークンを盗んでいます。
「デバイスコードフィッシングの急増は、公開されている犯罪ツールキットとサービスとしてのフィッシング(PhaaS)の複数の新興オファリングに一致しています」と研究者たちは述べました。
デバイスコードフィッシング調査結果の主要なポイント
- 攻撃者が正規のMicrosoft認証ワークフローを悪用する中、デバイスコードフィッシングは急速に成長しています。
- EvilTokensやTycoon 2FAのようなサービスとしてのフィッシング(PhaaS)プラットフォームは、これらの攻撃を拡大するのに役立っています。
- 攻撃者はQRコード、PDF、およびOAuthデバイスログインフローを使用してMicrosoft 365認証トークンを盗みます。
- AI支援フィッシングキットは、デバイスコード攻撃を開始するサイバー犯罪者の技術的障壁を低くしています。
デバイスコードフィッシングの台頭の内側
デバイスコードフィッシングの台頭は、特にMicrosoft 365環境に大きく依存している企業を標的とした、アイデンティティベースの攻撃の進化を示しています。
資格情報を盗むために偽のログインページを使用する従来の中間者(AiTM)フィッシングとは異なり、デバイスコードフィッシングは正規のOAuth 2.0認証ワークフローを悪用して、ユーザーを騙し、攻撃者が制御するアクセスを付与させます。
被害者は偽のログインページではなくMicrosoftの実際の認証ポータルとやり取りするため、これらの攻撃はより信頼できるように見え、疑わしいURLに焦点を当てた従来のフィッシング認識トレーニングを回避する可能性があります。
攻撃が成功すると、完全なアカウント乗っ取り、データ盗難、さらにはランサムウェアの展開を促進するのに役立つ可能性があります。
研究者は、この技術が信頼されている認証プロセスを悪用し、攻撃者にそれほど高い技術的洗練さを必要としないため、ますます人気が高まっていると警告しました。
デバイスコードフィッシング・アズ・ア・サービス
Proofpoint研究者は、EvilTokens、Tycoon 2FA、ODx、Kali365を含むデバイスコードフィッシング操作をサポートするサービスとしてのフィッシング(PhaaS)プラットフォームの急速に成長するエコシステムを特定しました。
これらのサービスにより、サイバー犯罪者は、フィッシングページとデバイスコードの生成から認証トークンのキャプチャおよび侵害されたアカウントの大規模な管理まで、攻撃チェーンの大部分を自動化できます。
多くのキットは、フィッシング餌の正当性を向上させるために、Microsoft、SharePoint、Adobe、DocuSignサービスになりすまして行うブランディングテンプレートもサポートしています。
研究者は、これらのフィッシングキットの多くが、AI支援されたバイブコーディング技術を使用して開発または変更されている兆候も観察しました。
これにより、サイバー犯罪者の技術的障壁が低くなり、経験の浅い行為者が新しいフィッシング亜種を迅速に開始したり、最小限の労力で既存のキットをカスタマイズしたりできるようになります。
デバイスコードフィッシング攻撃の仕組み
観察されたほとんどのキャンペーンでは、攻撃者は悪意のあるリンク、PDFの添付ファイル、または被害者をデバイスコードフィッシングランディングページにリダイレクトするQRコードを含むフィッシングメールを配布します。
被害者は、Microsoftの正規のデバイスログインポータルにアクセスして、提供された認証コードを入力するよう指示されます。
コードが送信されると、攻撃者は被害者のMicrosoft 365アカウントとそれに接続されているクラウドサービスへの直接アクセスを許可できる認証トークンを受け取り、ユーザー名またはパスワードを直接盗む必要はありません。
EvilTokensおよびTA4903キャンペーン活動
研究者によって特定された最も活動的なプラットフォームの1つはEvilTokensであり、2026年初頭にTelegramで最初に宣伝されたデバイスコードPhaaS操作です。
プラットフォームはPortal Browserという機能を含み、攻撃者が複数の侵害されたMicrosoft 365アカウントを同時に管理およびアクセスでき、BECおよびアカウント乗っ取り操作をスケーリングするのに役立ちます。
Proofpointはまた、脅威アクターTA4903にリンクされた複数のキャンペーンを観察しました。これは歴史的には従来のBECスキームに焦点を当てていますが、現在はほぼ排他的にデバイスコードフィッシングキャンペーンに依存しているように見えます。
観察された1つのキャンペーンでは、このアクターは人事部門になりすまし、QRコードを含む給与通知PDFを配信しました。
コードをスキャンした被害者は、Cloudflare Workers インフラストラクチャを通じてMicrosoftおよびDocuSignサービスになりすましているフィッシングページにリダイレクトされました。
攻撃技術自体の洗練さの増加にもかかわらず、研究者は多くのデバイスコードフィッシングキャンペーンが依然として明らかな運用上のセキュリティミスを含んでいることに注目しました。
一部のフィッシングメールは、悪意のある添付ファイルやQRコードを配信しながら、完全に空白のメッセージ本文を含んでいました。
これらのエラーは、多くの脅威アクターがキャンペーンの運用またはソーシャルエンジニアリングの側面を十分に理解せずに、AI支援フィッシングインフラストラクチャを迅速に展開していることを示唆しています。
デバイスコードフィッシングのリスクを軽減する
デバイスコードフィッシングキャンペーンが成長し続ける中、組織は従来のフィッシング防御を超えてアイデンティティセキュリティコントロールを強化する必要があります。
- デバイスコード認証フローをブロックまたは制限する(可能な限りMicrosoft条件付きアクセスポリシーを使用)。
- 企業リソースとMicrosoft 365サービスへのアクセスのために、準拠、管理、または登録されたデバイスが必要。
- Microsoft Entra IDサインインログとOAuthアクティビティを監視して、疑わしいデバイスコード認証試行と異常なトークン使用を検出。
- OAuthアプリケーションの同意権限を制限し、最小権限アクセス制御を適用し、特権アクセス管理ツールを使用してアカウント露出の制限に役立てる。
- 認証トークンのライフタイムを短縮し、リスクベースの認証ポリシーを実装して、攻撃者の永続性を低減。
- セキュリティ意識トレーニングを拡張して、ユーザーにデバイスコードフィッシング、QRコードベースの餌、および未承諾の認証リクエストについて教育。
- インシデント対応計画をテストし、アイデンティティ侵害に関するシナリオで攻撃シミュレーションツールを使用。
これらの対策は、組織がレジリエンスを構築し、デバイスコードフィッシング攻撃への全体的な露出を低減するのに役立ちます。
デバイスコードフィッシングの台頭
デバイスコードフィッシングの成長は、攻撃者がより伝統的なフィッシング攻撃に依存する代わりに、正規の認証ワークフローをますます悪用しているサイバー犯罪のより広い転換を反映しています。
Proofpoint研究者は、この技術をClickFix攻撃と比較しました。これは、攻撃チェーンの一部として、ユーザーがアクション自体を完了するよう説得することにも依存しています。
組織がフィッシング防御を改善する中、脅威アクターはますますPhaaS プラットフォーム、AI支援ツール、および正規のクラウド認証ワークフローを使用してアカウントを侵害しています。
組織は、階層型セキュリティ戦略とゼロトラストアーキテクチャを使用して、これらの脅威を軽減するために防御を強化しています。
翻訳元: https://www.esecurityplanet.com/threats/device-code-phishing-targets-microsoft-365-users/
