サイバー犯罪
マイクロソフトの正規認証フローを悪用するフィッシングキットにより、攻撃者はパスワードを盗んだり偽のログインページを作成したりすることなく、アカウントに不正アクセスできます
文法の乱れた文章や粗雑なデザインのフィッシングメールの時代は、主にAIのおかげで終わりを迎えつつあるという点については、すでに多くが語られています。一方、EvilTokensはフィッシングの技術がいかに進化したかを示す、少し異なる事例となっています。
EvilTokensは、OAuth 2.0デバイス認証グラントフローを悪用してMicrosoft 365アカウントを侵害するために構築された、フィッシング・アズ・ア・サービス(PhaaS)キットです。このキットを使用した攻撃はデバイスコードフィッシングに依存しているため、被害者がパスワードを入力する本物そっくりの偽ログインページを用意する必要がありません。代わりに攻撃者は、被害者に本物のMicrosoftログインページ上で二要素認証(2FA)を含む正規の認証プロセスを完了させます。
このツールキットは少なくとも2026年2月以降、Telegramチャンネルで宣伝され、実際の攻撃での使用が確認されています。Sekoiaなどの報告によると、このキットはサイバー犯罪者に急速に採用され、2026年3月に複数の国の340以上の組織を標的にしたキャンペーンを含む、多数のアカウント乗っ取りやビジネスメール詐欺(BEC)攻撃に活用されています。マイクロソフト自身も、動的なデバイスコード生成とカスタムの誘引手法を使ってEvilTokens攻撃の成功率を高めるAI活用型キャンペーンについて説明しています。
EvilTokensの仕組み
EvilTokensを利用した攻撃がどのように展開するか、簡単にご説明します。
- 攻撃に先立つ「偵察」フェーズでは、攻撃者がまず標的アカウントのアクティビティを確認します。マイクロソフトの観察によると、この偵察は実際のフィッシング試行の10〜15日前に行われています。
- 被害者は、請求書、共有ドキュメント、カレンダーの招待、またはSharePointアクセスリクエストを装ったメールやメッセージを受け取ります。誘引には、信頼できるブランドやサービスを模したデコイページが含まれており、「閲覧するには確認が必要です」や「署名が必要です」といったシンプルな文言が添えられています。
- 被害者がクリックすると、そのページがマイクロソフトにデバイスコードを要求します。このコードの有効期限はわずか15分であるため、時間とタイミングが極めて重要です。ページは被害者にコードを表示し、マイクロソフトの本物のログインポータルであるmicrosoft.com/deviceloginへ誘導します。問題なのは、そのコードが攻撃者のセッションに属していることで、被害者は知らずに自分自身ではなく攻撃者のデバイスを承認してしまいます。
- マイクロソフトは有効なサインインと判断し、攻撃者が開いたセッションにアクセストークンとリフレッシュトークンを発行します。一度侵入に成功すると、犯罪者は社内メール、ファイル、Teams、SharePoint、OneDriveなどのMicrosoft 365リソースにアクセスし、データを窃取したりBEC攻撃の準備をしたりすることができます。このため、財務、人事、物流、営業のアカウントが攻撃者の主な標的となっています。
EvilTokensが危険な理由
OAuthデバイスコードフローは、スマートテレビやプリンターなど、直接サインインが難しいデバイスのために設計されました。デバイスに短いコードが表示され、ユーザーはそれをスマートフォンなど別のデバイスのMicrosoftページに入力して認証を完了させます。マイクロソフトはその後、アクセスを要求したデバイスにアクセストークンを発行します。
この分離設計は便利ですが、悪用の余地を残しています。攻撃者はコードを生成して被害者をだますことができます。マイクロソフト側からは、正規の認証フローとしか見えません。マイクロソフトは確かに、信頼できないソースからのコードを入力しないよう、サインイン時に画面上のテキストでユーザーへ警告しています。しかし、巧妙なデコイがあれば、被害者は警告を読み飛ばしてしまうことがあります。
その点で言えば、EvilTokensはこれまでユーザーが注意するよう教えられてきた多くの危険信号、たとえばスペルミスのあるドメイン名や偽のログインページを排除しています。ログインページは本物であり、被害者の目には認証プロセス全体が正常に機能しているように見えます。
この攻撃は、2FAが提供する保護策に関しても「状況を複雑にする」ものです。二段階目の認証レイヤーはこれまで以上に重要ですが、被害者が誤ったセッションを承認してしまえば意味をなしません。これらの攻撃において、攻撃者は高度な技術で2FAを回避するのではなく、被害者をだまして代わりに2FAを完了させているにすぎません。
リスクを軽減する方法
フィッシング対策のアドバイスは、「リンクを確認する」にとどまるわけにはいきません。「タイポがないか確認する」はなおさらです。もちろん、これらの習慣は依然として役立ちますが、特に正規の認証フローを悪用する現代の攻撃には通用しません。
EvilTokensから身を守るためのヒントをご紹介します。
- 予期しない認証コードの要求はすべて疑わしいものと考えてください。ドキュメント、請求書、メール、その他のプラットフォームが、明確な理由なくデバイスコードを要求することはありません。身に覚えのない要求が届いた場合は、勤務先のITまたはセキュリティチームに報告してください。
- ページよりも文脈が重要です。サインインリクエストを承認する前に、どのアプリがアクセスを要求しているか、どのアカウントが関係しているか、そして自分が実際にその操作を開始したかどうかを確認してください。本物のMicrosoftページであっても、リクエストが安全であるとは限りません。
- 組織は不要な場所でのデバイスコードフローを完全に制限すべきです。マイクロソフトは、不要な場所ではデバイスコードフローをブロックし、特定のユーザー、デバイス、場所、またはオペレーティングシステムに限定する条件付きアクセスポリシーの適用を推奨しています。
- 通常とは異なるデバイスコード認証、見覚えのないデバイス、リスクのあるサインイン、不審なトークンの使用、新しい受信トレイルールなどに注意してください。これらはいずれも問題の兆候となりえます。
- セキュリティ意識向上トレーニングは、攻撃者の最新の手口に追いつく必要があります。現代のフィッシングは、必ずしも偽のページにパスワードを入力することを伴うわけではないということを、従業員が理解することが重要です。攻撃者が本物のページに本物のコードを入力するよう求めてくることもありますが、それは攻撃者自身のデバイスのためのコードなのです。
- 予期しないデバイスコードのリクエストを受け取った従業員は、会社のITまたはセキュリティチームに報告してください。チームはサインインログの確認、セッションの無効化、リフレッシュトークンの失効、悪意のある受信トレイルールの削除、侵害されたアカウントの一時無効化などの対応が必要になる場合があります。
EvilTokensは、攻撃者が必ずしも正面玄関を破ったり鍵を盗んだりする必要はないということを改めて示しています。時には、誰かを言いくるめてドアを開けさせるだけで十分なのです。
翻訳元: https://www.welivesecurity.com/en/cybercrime/eviltokens-phishing-doesnt-steal-password/
