- FBIがKali365に警告、Telegramで販売されているフィッシングキット。Microsoft 365 OAuthトークンを盗み、MFAをバイパス
- 被害者は正規のMicrosoftページで機器コードを入力するよう騙され、無意識のうちに攻撃者によるOutlook、Teams、OneDriveへのアクセスを許可
- 緩和策には機器コードフローの制限、条件付きアクセスポリシーの実行、使用状況の監査、認証転送ポリシーのブロックが含まれる
FBIは、新しいフィッシングキットについて警告しました。このキットは「参入障壁を低くしている」ため、スキルが低い悪質な行為者でも人々のMicrosoft 365アカウントを簡単に侵害できます。
公開サービス公示(PSA)では、Kali365と呼ばれる新しいフィッシングキットが2026年4月にTelegramで流通し始めたとMicrosoftが述べています。このキットは、ユーザーの認証情報を傍受することなく、Microsoft 365アクセストークンを取得し、多要素認証(MFA)をバイパスする簡単な方法として宣伝されています。
「Kali365プラットフォームサブスクリプションを通じて、サイバー脅威行為者は『OAuth』トークンをキャプチャし、対象の個人/エンティティのMicrosoft 365環境への持続的なアクセスを取得できる」とFBIは警告しました。
トークンのキャプチャ
このキットにより、脅威行為者は信頼できるクラウド生産性およびドキュメント共有サービスを偽装するフィッシングメールを送信できます。これらのメールには、正規のMicrosoft検証ページにアクセスして入力するための機器コードと指示も含まれています。FBIが説明したように、指示に従い、機器コードを貼り付けた被害者は、実は攻撃者のデバイスが自分たちのアカウントにアクセスすることを許可しています。
その後、Oauthアクセスおよび更新トークンをキャプチャでき、Microsoft 365アカウントおよびそこに含まれるすべてのサービス(Outlook、Teams、OneDriveなど)への制限のないアクセスを獲得できます。
リスクを軽減するために、ユーザーは機器コードフローを制限し、条件付きアクセスポリシーを作成し、既存のコードフロー使用状況を監査し、認証転送ポリシーをブロックするよう勧告されています。機器コードフロー使用を完全に制限できないユーザーは、ロックアウトを防ぐために緊急アクセスアカウントを除外することをお勧めします。
フィッシングキットは、ダークウェブを通じて料金で提供されるプラットフォームであり、悪質な行為者がフィッシング全体のワークフローを作成できます。これらには、大手ブランドを偽装したテンプレート化されたメールメッセージから、ログイン認証情報とMFAコードをキャプチャするための完全に機能するランディングページまで、すべてが含まれます。使用される機能によっては、月額10ドル程度と同じくらい低くでき、1,000ドル以上まで上昇します。
