FBIおよび複数のセキュリティ情報源は、新たなKali365 フィッシング・アズ・ア・サービス(PhaaS)キットが、Microsoft 365ユーザーを標的とした大規模なトークン窃取攻撃を可能にしていると警告しています。
FBIのインターネット犯罪苦情センター(IC3)によると、Kali365は2026年4月に初めて確認され、主にサイバー犯罪者が好むTelegramチャンネルを通じて配布されています。
このプラットフォームはMicrosoft 365のOAuthアクセストークンおよびリフレッシュトークンを窃取するよう設計されており、攻撃者はユーザーのパスワードや追加のMFAプロンプトを必要とせず、Outlook、Teams、OneDriveおよびその他のサービスにアクセスすることが可能になります。
Kali365はサブスクリプション型のPhaaSモデルで運営されており、世界中のMicrosoft 365テナントを標的とする技術力の低い攻撃者にターンキー型フィッシングインフラを販売していたRaccoon0365などの以前のキットを踏襲しています。
この「フィッシングキットエコノミー」は、インフラ、テンプレート、トークン処理を顧客から隠蔽することで、参入障壁を大幅に引き下げています。
FBIは、Kali365のキャンペーンは通常、信頼されたクラウド生産性サービスやドキュメント共有サービスを装ったフィッシングメールから始まり、ユーザーを正規のMicrosoft認証ページに誘導する「デバイスコード」と手順が含まれていると指摘しています。
被害者は実際のMicrosoftサイトにアクセスし、提供されたコードを入力することで、知らないうちにOAuthデバイスコードフローを通じて攻撃者のデバイスを承認してしまいます。
承認が完了すると、攻撃者はOAuthアクセストークンとリフレッシュトークンを取得し、被害者のMicrosoft 365テナントへの永続的なアクセス権を手に入れます。
商業セキュリティ研究者が説明する他のトークン重視のキットと同様に、Kali365のアプローチはアカウント乗っ取りを認証情報の窃取から効果的に切り離し、MFAが強制されている場合でも攻撃者が認証済みセッションを再利用できるようにします。
FBIサイバー部門によるIC3レポートおよびソーシャルメディア投稿では、Kali365にはAI生成のフィッシングルアー、自動化されたキャンペーンテンプレート、リアルタイムトラッキングダッシュボード、統合されたトークン取得ロジックが含まれていることが強調されています。
これらの機能により、技術力のない人物でも、プロフェッショナルな外観のメールと一元化された被害者監視によって、協調的なキャンペーンを実行することが可能になります。
関連するフィッシングエコシステムを追跡しているセキュリティベンダーは、Kali365やRaccoon0365などのPhaaS製品が、ブランドなりすましの改善や解析妨害措置を含む回避技術を継続的に更新していると指摘しています。
FBIは組織に対し、Microsoft Entra IDの条件付きアクセスポリシーを実装することで、可能な限りOAuthデバイスコードフローを制限またはブロックするよう促しており、同時に正規のワークフローを妨げないよう既存の使用状況を監査することを推奨しています。
管理者はさらに、認証転送ポリシーのブロック、デバイス間のセッション転送の制限、ロックアウトを防ぐための緊急アクセス用アカウントの一括制限からの除外が推奨されています。
CISAのフィッシングガイダンスでは、デバイスコードおよびOAuth同意詐欺に関するユーザー意識の強化、Microsoft Defender for Office 365への高度なフィッシング対策コントロールの導入、トークンを特定のデバイスに紐付けるトークン保護の有効化が推奨されています。
Kali365または類似のフィッシング被害に遭った方は、法執行機関の捜査を支援するため、メールの証跡、不審なログインデータ、不正なデバイスやセッションの詳細とともに、ic3.govのIC3に報告することが推奨されています。
翻訳元: https://cyberpress.org/fbi-kali365-attacks-microsoft-365-users/