FBIがMicrosoft 365アカウントを狙うKali365フィッシングサービスについて警告

FBIは、OAuthデバイスコード認証を悪用してセッショントークンを盗み、多要素認証（MFA）をバイパスすることでMicrosoft 365アカウントをハイジャックするために使用されるKali365フィッシング・アズ・ア・サービス・プラットフォーム（PhaaS）について警告しています。

この認証方法は、スマートTV、会議室システム、ストリーミングデバイス、プリンター、IoTデバイスなど、入力機能が限定されたデバイスが、マイクロソフトのデバイスコードログインポータルhttp://microsoft.com/deviceloginで短いコードを使用して別のデバイス経由で認証できるようにするために作成されました。

2月、BleepingComputerはShinyHuntersサイバー犯罪グループを含む恐喝ギャングが、デバイスコードと音声フィッシングを介してMicrosoft Entraアカウントをターゲットにしていたと報告しました。

これらの攻撃では、脅威アクターはデバイス認可プロセスを自分たちで開始してコードを生成し、その後フィッシングとソーシャルエンジニアリングを通じてターゲットにMicrosoftのログインページにそのコードを入力するよう騙します。

被害者がコードを入力して多要素認証を完了すると、マイクロソフトはOAuthアクセストークンを発行し、脅威アクターは多要素認証チャレンジを解く必要なく、彼らのアカウントへのフルアクセス権を獲得します。

脅威アクターは現在、ユーザーがシングルサインオンアカウント経由で通常アクセスできるすべてのアプリケーション（Microsoft 365、Salesforce、またはその他のクラウドSaaSプラットフォームを含む）へのフルアクセス権を持つようになり、その後データを盗むために使用されます。

FBIはKali365が低スキルの攻撃者でもAI生成フィッシングルアー、自動化されたキャンペーンテンプレート、リアルタイム被害者追跡ダッシュボード、トークンキャプチャ機能など高度なフィッシング機能へのアクセスを提供すると警告しています。

Arctic Wolfのセキュリティ研究者は、世界中の組織をターゲットにした広範なキャンペーンを観察した後、4月にKali365アクティビティについて報告しました。

研究者たちは、キャンペーンは主にMicrosoft 365環境をターゲットにしており、被害者をマイクロソフトのデバイスコードログインポータルに誘導するフィッシングメールを使用していたと述べており、そこで被害者は知らずにアクターがアカウントにアクセスすることを承認していました。

研究者たちは、結果として生じた攻撃により、ハッカーはメールボックスにアクセスでき、彼らのアクティビティを隠すように設計された悪質な受信トレイルールを作成したと述べています。

一部の攻撃では、攻撃者は被害者のMicrosoft環境に新しいデバイスを登録し、侵害されたネットワークへのアクセスをさらに拡張しました。

Arctic Wolfは、Kali365が製品開発を管理する管理者、他の脅威アクターへのサービスを促進するリセラー、フィッシング攻撃を実行するアフィリエイトを持つビジネスとして運営されていることを発見しました。

研究者たちは、プラットフォームは2つの別個の攻撃モードを提供していると述べており、最初がデバイスコードフィッシングで、2番目が「Cookie Link」という名の中間者攻撃（AitM）モードです。

Cookie Linkは、ターゲットがログインし多要素認証チャレンジを解いた後、認証されたブラウザセッション、セッションクッキー、トークンをキャプチャする攻撃者制御のインフラストラクチャを通じて被害者をプロキシします。

FBIは、企業が可能な限り条件付きアクセスポリシーを使用してデバイスコード認証フローを制限または完全にブロックし、既存のデバイスコード使用状況を監査し、デバイス間で認証セッションを移動できるようにする認証転送ポリシーをブロックすることを推奨しています。

当局はまた、影響を受けた組織にインターネット犯罪苦情センターへのインシデント報告と、フィッシングメール、疑わしいログイン情報、不正なデバイス登録の保存を促促しました。

デバイスコードフィッシングは2026年に広く採用されており、他の脅威アクターとプラットフォームは現在それをフィッシングキャンペーンと攻撃の一部として使用しています。

この採用にはEvilTokens PhaaSおよびTycoon2FAも含まれており、これらもMicrosoft 365とEntraアカウントを侵害するために使用しています。