Microsoft 365アカウントを狙うフィッシングパネル「ARToken」

米国企業の買掛金担当者のもとには、すでに取引のあるベンダーからの請求書を装ったメールが今も届き続けています。2026年4月には、ある生命科学関連企業の支払い担当者宛てに、ウィスコンシン州の請負業者の請求担当者を名乗るメールが届きました。文面は「未払いのままになっているようだ」と請求書について問い合わせるもので、買掛金チームが日々処理しているような内容でした。この裏にあるのが、Cisco TalosがEvilTokensと結び付けたフィッシング活動です。EvilTokensはサブスクリプション型のサービスで、今年に入ってから数百件ものCloudflare Workersドメインに拡散しています。

Image

攻撃の起点となるメール

Talosは、2026年4月20日に数分の間隔を空けて送信された、ほぼ同一の2通のメールを回収しました。いずれも実在するウィスコンシン州の請負業者の買掛金担当者になりすまし、米国の生命科学関連企業の支払い担当者宛てに送られたものです。既存のベンダー関係を利用することで、メールが受信箱に残る口実が生まれます。

差出人欄には実在するベンダーの正規ドメインが表示される一方、返信先には別のアドレスがひっそりと設定されており、返信は なりすまされた企業とは別の場所へ静かに転送される仕組みになっています。このメールはSPF、DKIM、DMARCのいずれの認証にも失敗しています。本文中のリンクはベンダー自身のSharePointテナントであるかのように表示されますが、実際の遷移先は攻撃者が管理するMicrosoft 365ワークスペース上に設けられた、そっくりに作られた偽テナントです。この遷移先は正規のsharepoint.comホスト上に置かれているため、Microsoft自身のサービスの信頼性をそのまま利用する形になっています。各メールには短いランダムな文字列と署名のインライン画像も含まれており、こうした細かな工夫はメッセージごとにわずかな変化を持たせることで、完全一致方式のコンテンツフィルタをすり抜けやすくする狙いがあると考えられます。

EvilTokensとデバイスコードフィッシング

EvilTokensは、キーボードを持たないデバイス向けに設計されたサインインの仕組みである、MicrosoftのOAuth 2.0デバイス認可グラント(Device Authorization Grant)を悪用します。このサービスは、この認証のやり取りの最中に被害者のトークンを窃取し、多要素認証を回避します。Sekoiaは2026年3月にこのプラットフォームの実態を報告しており、翌月にはMicrosoftもその規模を確認し、従来のデバイスコード攻撃を上回る成功率や、標的ごとに調整されたAI生成の誘導文面があると指摘しています。

Sekoiaはその時点で、このプラットフォームに関連するCloudflare Workersドメインを約500件カタログ化しており、関係するアフィリエイトたちは世界中の財務、人事、物流担当者を標的にしていました。

このプラットフォームは、初期費用1,500ドルに月額料金を上乗せしたサブスクリプション形式でアクセス権を販売しており、その第2段階では、乗っ取ったメールボックスをそれぞれ個別の詐欺シナリオへと変換する、AI支援によるビジネスメール詐欺(BEC)パイプラインを稼働させています。

露出していたパネル

Talosはインシデント対応の一環で、「ARToken Panel」と題された管理パネルにこのインフラをたどり着きました。このパネルはReactによるWebアプリとして提供されていました。この種のアプリはクライアント側のコードを丸ごとブラウザに送信するため、ページを単に閲覧するだけでパネルのルート、ラベル、内部パスまでもが読み込まれてしまい、すでに読み込まれたコードの上にログイン画面が乗っているだけという状態でした。

露出していたこのインターフェースは80以上のエンドポイントを備え、デバイスコードフィッシング、トークンの永続化、メールボックスへのアクセス、ビジネスメール詐欺、SharePointからの窃取までを、単一のダッシュボードからすべて実行できるようになっていました。

ARTokenとEvilTokensの関連性

ARTokenとEvilTokensを結びつける根拠は、技術的な特徴の重なりにあります。両者は同一のサインイン要求を送信し、同一のトークン応答を受け取ります。また両者とも、Microsoftの認証ブローカーを通じてプライマリリフレッシュトークン(Primary Refresh Token)を取得する共有の「ブローカー」モードを使用し、Adobe、OneDrive、文書ビューアーをテーマとした同一のサブドメインパターンでCloudflare Workersに誘導ページを展開しています。ARTokenはまた、Sekoiaがこのプラットフォームの従来のフィッシングキットに対する最大の進化点だと評したプライマリリフレッシュトークンのライフサイクル管理機能も備えています。

「これを誰が運用しているかを示す手がかりは今のところありませんが、どちらかと言えば、アフィリエイトによってカスタマイズされたビルドという性格が強いようです」と、Cisco Talosのセキュリティ研究者であるMichael Kelley氏はHelp Net Securityに語りました。

フィッシングキットの中身

あるARTokenの展開先から回収されたフィッシングページには、自動化されたスキャナーからの検出を回避しつつ、実際の被害者に対しては動作し続けるよう設計された7層構造の仕組みが組み込まれていました。初期段階のチェックでは、ブラウザ自体の特性を読み取ることで、ヘッドレスブラウザや自動化ツール、クローラーを排除します。後段のチェックでは、人間らしい兆候を待ち受けます。マウスの動きが一定量検出されるか画面へのタッチが検出され、かつページ読み込みから一定の遅延時間が経過するまで、ペイロードは保持されたままになります。

訪問者を信頼できると判断すると、ページはリンクから標的のメールアドレスを読み取り、攻撃者のサーバーにデバイスコードを要求したうえで、被害者をMicrosoft自身のデバイスログインページへと誘導します。ペイロードは難読化された状態で届き、ブラウザ内で展開される仕組みになっているため、URLスキャナーによる解析を防いでいます。パスワード変更後の永続化を無効にする設定が存在することから、運用者はパスワードリセットによって窃取したトークンが失効することを理解しており、被害者が気づく前に権限昇格を進める計画であることがうかがえます。

運用者が手にするもの

ダッシュボード内では、窃取したトークン一つから、後続のさまざまな操作を行うメニューが開きます。運用者は、トークンを更新してパスワードリセットにも耐えるプライマリリフレッシュトークンへと昇格させたり、被害者になりすましてメールを読み書きしたり、証拠を隠すための受信トレイルールを仕込んだり、被害者のSharePointやOneDriveを閲覧してファイルを盗んだり新たなフィッシングの種を仕込んだりできます。付属のWindows向けツールは、パネルの外部で被害者のMicrosoft 365セッションを開くことができ、パネル自体もCloudflareと連携し、必要に応じて新しいフィッシングページを次々と立ち上げます。

これまで報告されていたEvilTokensの機能を超える要素もいくつか確認されており、複数のメールボックスを横断したキーワード監視、運用者間でのトークンのインポートや共有、被害者の都市や国を誘導文面に自動で組み込む地域対応テンプレートなどが含まれます。これらを合わせると、単なる単機能のフィッシングキットの域を超えた、実用的なビジネスメール詐欺環境が出来上がっていると言えます。

現在の状況

このパネルはその後、活動を停止しています。Kelley氏は次のように状況を説明しています。「今回のケースでは、私たちがテイクダウンを主導したわけではありませんが、このパネルはすでにアクセスできなくなっています。おそらく移転したものと思われます」。

デバイスコード認証の仕組み自体は正規のものであるため、最も強力な手がかりはその周辺に存在します。すなわち、そっくりに作られた偽のSharePointテナント、ベンダーを装った請求書メールでの認証失敗、そして通常業務中に不意に表示されるデバイスコードのプロンプトなどです。Talosは、pamconj[.]comを筆頭とするこの攻撃活動に関連するドメインとアドレスを公開しており、防御側が調査に活用できるようにしています。

翻訳元: https://www.helpnetsecurity.com/2026/07/01/artoken-phishing-panel-microsoft-365-accounts/

ソース: helpnetsecurity.com