サイバー犯罪
Talosの研究者いわく「完全なBECオペレーション環境」
犯罪者が多要素認証(MFA)を突破し、被害者になりすまして組織のMicrosoft 365アプリケーションへ密かに認証を通してしまう「EvilTokens」デバイスコードフィッシングキットが、これまで考えられていた以上に悪質な代物であることが判明しました。
Cisco Talosのインシデント対応チームは水曜日、このおとりメールが被害者の受信トレイに届くまでの経緯を説明するとともに、これまでのEvilTokens関連調査で報告されていたものより「より洗練された回避手法」を含む新たな機能を明らかにしました。
Talosは、「ARToken」と名付けられたフィッシング・アズ・ア・サービス(PhaaS)のオペレーターパネルを発見しました。セキュリティリサーチエンジニアのMichael Kelley氏によれば、このパネルはEvilTokensの顧客とみられるもので、インフラ、APIの仕様、運用パターンがEvilTokensプラットフォームと共通しているとのことです。
EvilTokensは3月にフランスのサイバーセキュリティ企業Sekoiaによって初めて報告され、4月にはMicrosoftがこのデバイスコードフィッシングキャンペーンによって毎日数百もの組織が侵害されていると発表しています。
Microsoftのセキュリティリサーチ担当VPであるTanmay Ganacharya氏は当時、El Regの取材に対し次のように語っていました。「2026年3月15日以降、24時間ごとに10件から15件の異なるキャンペーンが確認されています。各キャンペーンは大規模に展開されており、数百の組織を標的にしながらも、それぞれ多様かつ独自のペイロードを用いているため、パターンベースの検知が一段と困難になっています」
これまでの分析の多くはEvilTokensのパネルやフィッシングキットそのものを扱ったものでしたが、「ARTokenのおとりメールが実際にどのように受信トレイへ届くのかについては明らかにされてきませんでした」とKelley氏は水曜日に述べています。「Talosは、2026年4月20日に約4分間隔で送信された、ほぼ同一の2通のメールを回収しました。これが一連の攻撃の起点となっています。この手口は無差別型のばらまきではなく、標的を絞り込んだものです」
具体的には、このおとりメールは、米国のライフサイエンス企業と、正規の配管・防火設備業者との間に実際に存在する取引関係を悪用していました。メールは未払い請求書を装ったおとりで、ライフサイエンス企業に対し「以下の請求書が未払いのようです」と伝える内容になっており、「送信元」ヘッダーにはその業者の本物のドメインが表示されます。ところが返信先は、無関係の別ドメインへとリダイレクトされる仕組みになっていました。
取材によれば、メール本文中に表示されるアンカーテキストでさえ、その業者が実際に使用しているSharePointテナントであるかのように見えるとのことです。しかし実際のhref属性は、攻撃者が管理する別のMicrosoft 365ワークスペース配下にある、ほぼ同一のなりすましテナントを指しています。それでも遷移先は正規のsharepoint.comホストであるため、フィッシングとしてフラグが立てられる可能性は低くなります。
CiscoはARTokenのフィッシングインフラを調査する過程で、EvilTokensとのつながりを発見しました。もともとSekoiaが報告していたものと同一のAPI仕様、一致する展開・運用モデルに加え、「明らかに一段と洗練された」分析対策・回避機能も確認されています。
ARTokenのパネルからは、非常に包括的な侵害後(ポストエクスプロイテーション)ツールキットの存在も明らかになりました。これにはトークン管理・永続化の仕組みが含まれるほか、被害者のMicrosoft Outlook受信トレイへの完全な読み取りアクセス、被害者になりすましたメール送信機能、メールの転送・削除のための受信トレイルール作成機能、侵害された全アカウントを横断したキーワードベースの監視機能を備えたビジネスメール詐欺(BEC)ツールも組み込まれています。
「これらの機能は、このプラットフォームが単純なデバイスコードフィッシングキットの域を超え、より成熟していることを示しています。つまり、完全なBECオペレーション環境なのです」とKelley氏は記しています。®