FBIは、Kali365と呼ばれる新興のPhishing-as-a-Service(PhaaS)プラットフォームがMicrosoft 365アクセストークンを標的にしていると警告しています。
2026年4月に初めて観察されたKali365はTelegramを通じて配布され、サイバー犯罪者がユーザー認証情報を盗まずにMicrosoft 365アクセストークンを取得してMFAを回避することを可能にします。
「Kali365は参入障壁を低くし、技術知識の少ない攻撃者にAI生成フィッシング誘導、自動化されたキャンペーンテンプレート、リアルタイム標的個人・エンティティ追跡ダッシュボード、OAuthトークン取得機能へのアクセスを提供する」とFBIは述べています。
このタイプの攻撃は「デバイスコードフィッシング」として知られており、攻撃者は正当な認証フローを通じてユーザーにアカウントへのログインを指示し、その後アクセストークンとリフレッシュトークンを盗みます。
攻撃の仕組み
攻撃は、信頼できるクラウドまたはドキュメント共有サービスになりすましたフィッシングメールで始まり、正当なMicrosoft検証ページにアクセスするための指示を含むデバイスコードが含まれています。
被害者がコードを入力した後、彼らは知らないうちに攻撃者のデバイスを認可します。
攻撃者はOAuthアクセスとリフレッシュトークンをキャプチャし、パスワードや追加のMFAプロンプトを必要とせずにOutlook、Teams、OneDriveなどのMicrosoft 365サービスへの継続的なアクセスを可能にします。
FBIの発表では、ユーザーと組織がデバイスコードフィッシング攻撃から身を守るために従うことができるいくつかのヒントが概説されています。
Telegramベースのフィッシングサービス
研究者はまた最近、Telegramを通じて販売されている別のPhaaS プラットフォームであるEvilTokensを特定しました。
このサービスは経験の浅い攻撃者に、偽のログインページ、Microsoft API自動化、AI生成メールを含むフィッシングキャンペーン用の既製ツールを提供します。
また、SharePointアクセスリクエスト、パスワード有効期限メッセージ、共有ドキュメント警告など、一般的なビジネス通知を中心に構築されたテンプレートも付属しています。
Barracuda Networksによると、2025年の最も一般的なフィッシングテーマは、ユーザーがリンクをクリック、QRコードをスキャン、添付ファイルを開く、または個人情報を提供するように促しました。
翻訳元: https://www.helpnetsecurity.com/2026/05/22/kali365-microsoft-365-phishing-fbi-warning/
