TokyoBlackHatNews

malwarebytes.com 5分で読了

Kali365フィッシングキット、MFAを回避してMicrosoftログイン情報を窃取

連邦捜査局(FBI)が新しいフィッシングキットに関する専用の公共サービス発表を公開した場合、注目する価値があります。

同機関は現在、「Kali365」について警告を発しています。これはフィッシング・アズ・ア・サービス(PhaaS)プラットフォームであり、技術力の低い攻撃者でもパスワードの代わりにアクセストークンを窃取することで、Microsoft 365アカウントを乗っ取ることができます。

初期の報告は組織への攻撃に焦点を当てていますが、この手法は本物のMicrosoftウェブサイトに短いコードを入力するよう騙された個人のMicrosoft 365ユーザーに対しても同様に有効です。つまり、これはビジネスやIT部門だけの問題ではありません。Outlook、OneDrive、またはMicrosoft 365サブスクリプションを持つ誰もが影響を受ける可能性があります。

このキットを使用するサイバー犯罪者にとって、明確な3つの利点があります:

  • アクセストークンを窃取することで多要素認証(MFA)を回避するため、トークンが侵害されると追加コードやアプリはもはや役に立ちません。
  • Kali365は継続的なアクセスを提供します。攻撃者は、窃取したリフレッシュトークンが有効である限り、繰り返しログインすることなくOutlook、Teams、OneDriveを使い続けることができます。
  • 技術的なスキルはほとんど不要です。サイバー犯罪者はKali365に登録するだけで、トークン窃取キャンペーンを大規模に即座に実行できます。

攻撃はどのようなものか?

被害者は、クラウドサービスやコラボレーションツール(ドキュメント共有通知やTeamsの招待など)から送られたように見えるフィッシングメッセージを受け取ります。メッセージには短い「デバイスコード」と「このコードをMicrosoftの認証ページに入力してドキュメントを表示してください」といった指示が含まれています。

詐欺か本物か?Scam Guardが判定します。

多くのフィッシングメールとは異なり、このメッセージはデバイスサインインフローに使用される本物のMicrosoft URLに誘導します。ユーザーにとってそのページは見慣れており完全に正当なものに見えるため、疑惑が薄れます。

被害者は標準的なMicrosoftのサインインと同意画面を目にし、通常のセキュリティ確認を完了しているだけだと思うかもしれません。偽のページは一切表示されず、不審なフォームにパスワードを入力することもなく、組織のブランディングが表示される場合さえあります。

しかし、彼らが気づかないのは、攻撃者にアクセス権を渡してしまったということです。

被害者がリクエストを承認すると、攻撃者のデバイスは被害者のMicrosoft 365アカウントに紐付けられたOAuthアクセストークンとリフレッシュトークンを受け取ります。これらのトークンはMicrosoftがすでにログイン済みであることを「記憶」するために使用するものであり、再度パスワードを入力することなくOutlook、OneDrive、Teams、その他のMicrosoftサービスへのアクセスに再利用できます。

有効なリフレッシュトークンがあれば、攻撃者はトークンが失効または期限切れになるまで長期的なアクセスを維持でき、多くの場合、通常のアカウントアクティビティに紛れ込みます。

そのアクセスにより、サイバー犯罪者は以下のことが可能になります:

  • パスワードリセットメッセージを含むOutlookメールの閲覧
  • OneDriveまたはSharePointに保存されたファイルへのアクセス
  • 被害者のアカウントから同僚、顧客、友人、または家族へのフィッシングメール送信

身を守る方法

Outlookに侵入した攻撃者は、メッセージを読むだけでなく、あなたのアドレスから説得力のある新しいメッセージを送信し、あなたの身元を使って追加のアカウントや連絡先を侵害することもできます。

この攻撃を回避するためのヒントをいくつか紹介します:

  • メールやメッセージに指示されたからといって、MicrosoftのログインページでコードをLに入力しないでください。これは自分のデバイスで自分自身がサインインを開始した場合にのみ行うべきです。
  • 落ち着いてプロンプトをよく読んでください。ログイン承認を注意深く読まずに急いで進めると、大きな損害を招く可能性があります。
  • 予期しないドキュメント共有、Teamsの招待、またはログインリクエストには、たとえ本物のMicrosoftページを使用していても、疑いを持ってください。
  • https://account.microsoft.com/devices/で、アカウントにログインしているデバイスを確認してください。見覚えのないデバイスやサインインが見つかった場合は、それらを削除し、Microsoftアカウントのパスワードを変更して、セキュリティ設定を見直してください。

プロのヒント:Malwarebytes Scam Guard は、メッセージが詐欺かどうかを判断するのに役立ちます。

シークレットウィンドウにできることには限界があります。 
 
情報漏洩、ダークウェブでの売買、クレジット詐欺。Malwarebytes個人情報盗難保護 はこれらすべてを監視し、迅速に警告を発し、個人情報盗難保険も付帯しています。 

翻訳元: https://www.malwarebytes.com/blog/scams/2026/05/kali365-phishing-kit-bypasses-mfa-and-steals-microsoft-logins

ソース: malwarebytes.com
#FBI警告 #Kali365 #MFA回避 #Microsoft 365 #OAuthトークン #アクセストークン窃取 #サイバー犯罪 #デバイスコードフィッシング #フィッシング #フィッシング・アズ・ア・サービス

関連記事

カーニバル、約600万人に影響するデータ侵害を確認

WindowsパソコンのセキュリティはWindows PCに2026年6月の期限があります

偽のChatGPTダウンロードサイトがWindowsとMacユーザーにマルウェアを感染させる