サイバーセキュリティ研究者らは、OAuth 2.0デバイス認可グラント(Device Authorization Grant)フローを悪用し、企業向けMicrosoft 365ユーザーを狙うフィッシングキャンペーンが現在も活発に行われていることを突き止めました。
この高度な攻撃は、偽のログインページで認証情報を詐取する従来の手口とは異なり、被害者を巧みに誘導して攻撃者が制御するデバイスへの認可を与えさせるものです。
Microsoftの正規認証インフラを利用しているため、侵害の痕跡を見抜くことは一般ユーザーにとって極めて困難です。
攻撃の起点となるのは、仕入先からの見積もり承認を装った巧妙なフィッシングメールです。このメールにはHTMLファイルが添付されており、コンテンツIDのURLを介して画像が埋め込まれています。
被害者がその画像をクリックすると、最近のClickFix型フィッシングキットに酷似したランディングページへ誘導されます。
ランディングページ上の「Review Document(ドキュメントを確認する)」ボタンをクリックすると、被害者に確認コードとMicrosoftアカウントへのサインイン手順が表示されます。
サインインのプロンプトをクリックすると、正規の短縮URLでホストされた本物のMicrosoft認証ポップアップが開きます。Microsoftのインフラから直接提供されるため、ユーザーの警戒心をすり抜けてしまいます。
被害者が提示されたコードを入力すると、知らず知らずのうちに攻撃者のデバイスがMicrosoft 365アカウントへのアクセスを許可されてしまいます。パスワードを一切入力することなく、アカウントの乗っ取りが完了するのです。
このフィッシングキットは、自動セキュリティスキャナーを回避するためにさまざまな手法を駆使しています。ランディングページのソースコードには、ゼロ幅スペースやワードジョイナーといった不可視のUnicode文字が大量に埋め込まれています。
これらの隠し文字は、危険を示すキーワードを分断することで、基本的な文字列マッチングによる検知を回避します。防御側は、特定のネットワークトラフィックパターンを監視し、専用のYARAルールを導入することで、この活動を検知できます。
ReversingLabsによると、この攻撃では認識しやすい3つのクラスターに分かれた特徴的なホスト名解決シーケンスが発生するとのことです。
デバイスコード自体は、URLセーフなBase64エンコードされたバイナリ形式で送信されます。注目すべき点は、このコードにMicrosoft Entra IDのセキュリティトークンサービス(STS)に由来するビットシフト文字列が含まれていることです。
このビットシフトを逆算することで文字列を復元でき、さらに不可視のUnicode文字と組み合わせることで、精度の高いYARA検知ルールを作成できます。
この脅威の拡大から環境を守るために、組織はデバイスコード認証プロンプトに関する教育を従業員に対して具体的に実施することが重要です。
セキュリティチームは、Entra IDサインインログで予期しないデバイスコードグラントの使用がないか監視するとともに、既知の侵害指標(IOC)をブロックする必要があります。
脅威ハンターはまた、このフィッシングキット固有の4秒間隔のビーコニング動作を標的としたネットワーク検知を実装することで、攻撃の最初期段階での捕捉が可能になります。
注記: IPアドレスおよびドメインは、誤ったアクセスやハイパーリンク化を防ぐため、意図的に無害化処理(例:[.])を施しています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の表記に戻してご使用ください。
翻訳元: https://cyberpress.org/device-code-phishing-targets-m365/
