MicrosoftのパスキーフローになりすましたBIP-39シードフレーズによる目くらまし攻撃、アカウント乗っ取りに悪用

O-UNC-066、通称「Pink」として知られる脅威アクターが、企業向けMicrosoft 365顧客を標的にした高度なアカウント乗っ取りキャンペーンを展開しています。

このグループは2026年4月以降、ボイスフィッシングと専用のフィッシングキットを組み合わせ、データを窃取して恐喝に利用しています。

攻撃者は医療、テクノロジー、航空、自動車など複数の業界にまたがる組織を標的にしています。あらかじめ入念に計画した電話を通じて被害者をだますため、「passkey」という単語を含む悪意のあるドメインを登録しているのが特徴です。

攻撃者は標的とした従業員に電話をかけ、新しいMicrosoftパスキーを登録するよう説得します。このソーシャルエンジニアリング手法は、最近のMicrosoftのセキュリティアップデートを悪用したものです。

Microsoftの管理者は最近、サインイン時にユーザーへパスキー登録を促す機能を利用できるようになりました。攻撃者はこの善意のセキュリティ強化策を、被害者を悪意あるサイトへ誘導するための説得力のある口実として利用しています。

これらのフィッシングサイトは、被害者の組織に特化したブランディングでカスタマイズされています。フィッシングキットはMicrosoftのコンテンツデリバリーネットワークから汎用のスタイリングを読み込み、本物らしく見せかけています。

フィッシングキットの操作者は、ユーザーが最初の偽ページにユーザー名とパスワードを入力した瞬間に、それを取得します。操作者はその後、盗んだ認証情報を素早く本物のMicrosoftサインインページに入力します。

これにより、Microsoftから正規の多要素認証チャレンジが発行されます。操作者はチャレンジの種類を確認したうえで、それに対応する偽ページを被害者の画面に表示させます。

この裏側の処理が進む間、被害者の注意をそらしておくため、フィッシングキットは巧妙な目くらましを仕込んでいます。偽サイトはユーザーを偽のパスキー登録ページへと誘導します。

このサイトは、BIP-39シードフレーズのリストからリカバリーキーを保存するようユーザーに指示します。この記憶方法は暗号資産アプリケーションではよく使われるものです。しかし、実際のMicrosoft Entraのパスキー登録プロセスでは使用されていません。

被害者がシードフレーズの確認に時間を費やしている間に、攻撃者は実際のアカウント上で本物のパスキーの設定を完了させます。フィッシングキットは最終的に偽の成功ページを表示し、一連の演出を締めくくります。

Microsoftから新しいパスキーが追加されたことを知らせる自動メールが送信されると、被害者はそれを自分自身の操作の結果だと信じ込んでしまいます。

実際には、攻撃者はカスタム名の裏に隠れながら、そのアカウントへのバックドアアクセスを確保したばかりだったと、Oktaは述べています

O-UNC-066グループは、ロシアおよび米国に所在するプロバイダー上にフィッシングインフラをホストしています。assignpasskey.com、deploypasskey.com、passkeyadd.comといったベースドメインから、標的ごとのサブドメインを作成しています。

標的となった企業には、自社名を組み込んだ形式のリンクが表示されることがあり、これが正規のものであるという錯覚をさらに強めています。攻撃者は2026年5月31日、侵害した組織に公然と圧力をかけて恐喝するためのリークサイトを公開しました。

翻訳元: https://cyberpress.org/fake-passkey-steals-accounts/

ソース: cyberpress.org