米国連邦捜査局(FBI)は公開警告(Alert I-052126-PSA)を発表し、Microsoft 365ユーザーを積極的に狙う新たに識別されたフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Kali365」について警告しています。
2026年4月に初めて確認されたこのプラットフォームは、OAuth ベースの認証フローを悪用することで、多要素認証(MFA)を回避できます。
Kali365 PhaaS プラットフォームが Microsoft 365 をターゲット
Kali365は主にTelegramチャネルを通じて配布され、サブスクリプションベースのモデルを提供しており、技術スキルが低い脅威アクターでも高度なフィッシング攻撃を実行できるようにしています。このプラットフォームは以下の機能を提供します:
- AI生成フィッシングメールテンプレート
- 自動キャンペーン展開ツール
- リアルタイム被害者追跡ダッシュボード
- OAuthトークン収集機能
この組み合わせにより、攻撃者はフィッシングキャンペーンを効率的にスケーリングしながら、侵害された環境での永続的なアクセスを維持できます。
従来の認証情報盗難と異なり、Kali365はMicrosoftの正規のデバイスコード認証フローを悪用して、ユーザーにアカウントアクセスを許可させます。
- フィッシング誘導:被害者はMicrosoftやドキュメント共有プラットフォームなどの信頼できるサービスになりすましたメールを受け取ります。これらのメールにはデバイスコードと認証手順が含まれています。
- ユーザー認可:被害者は公式のMicrosoftログインページにアクセスし、提供されたデバイスコードを入力します。これが正規のものだと信じます。
- トークン取得:認証後、攻撃者は被害者のアカウントに関連するOAuthアクセストークンと更新トークンを取得します。
- 永続的アクセス:これらのトークンにより、攻撃者はパスワードやMFAチャレンジなしにOutlook、Teams、OneDriveなどのサービスへの継続的なアクセスを得られます。
このテクニックは正規の認証ワークフローを悪用するため、検出がより難しくなり、特に危険です。
OAuthトークンの使用により、攻撃者はユーザーがパスワードを変更しても長期的なアクセスを維持できます。組織はデータ流出、ビジネスメール侵害(BEC)、クラウド環境内での横展開のリスクにさらされています。
FBIは、この手法が認証情報盗難ではなくセッションハイジャックに焦点を当てたフィッシング攻撃の増加傾向を表していることを指摘しています。
緩和および保護措置
FBIとCISAはKali365関連の脅威を緩和するための複数の防御施策を推奨しています:
- 可能な限りデバイスコード認証フローを制限するか無効化する
- 条件付きアクセスポリシーを実装して、不正なデバイスコード使用をブロックする
- 既存のデバイス認証ワークフローを正規の使用ケースについて監査する
- デバイス間の認証転送をブロックする
- 管理者ロックアウトを回避するための緊急アクセスアカウントを維持する
ユーザー認識も重要なままであり、特に不正な認証リクエストに関しては重要です。
Kali365キャンペーンの影響を受けた組織や個人は、インターネット犯罪苦情センター(IC3)に事件を報告することをお勧めします。含める主要情報は以下の通りです:
- フィッシングメールのコンテンツおよびヘッダー
- 疑わしいログイン活動(IP、時間、場所)
- アカウントにリンクされた不正なセッションまたはデバイス
CISAのフィッシング緩和ガイダンスは、初期段階で攻撃チェーンを破壊するための早期検出と積極的な防御戦略の重要性をさらに強調しています。
Kali365は、攻撃者が盗まれた認証情報のみに頼るのではなく、信頼できる認証メカニズムをますます悪用するフィッシングエコシステムの進化する高度化を強調しています。
翻訳元: https://gbhackers.com/fbi-warns-kali365-phaas-platform-targets-microsoft-365/
