サイバー強要犯罪グループ「Pink」は、Entraパスキー登録の要求を装って従業員をだまし、Microsoft 365アカウントへのアクセス権を手に入れていることが分かりました。
攻撃の手口
攻撃はまず、従業員へのビッシング(音声フィッシング)電話から始まります。攻撃者はIT部門の担当者を装い、パスキーを設定する時期が来たと伝えます。それ以降のやり取りはすべて芝居であり、攻撃者が裏で作業を完了させる間、被害者の注意を引きつけておくためのものです。
攻撃者は標的に対し、Microsoft Entra IDのログインページを模倣したサブドメインへアクセスするよう指示します。このページは被害者の勤務先企業のものに見えるようカスタマイズされています。
標的はMicrosoft 365アカウントへログインし、第2の認証要素を入力した上で、パスキーを設定するよう指示されます。
これらの入力を求める各ページは、パネルで操作可能なフィッシングキットによって提供されており、攻撃者は標的とされたユーザーに提示する認証フローを自在にカスタマイズできます。
研究者らは「オペレーターはこのキットを使い、セッション中に各被害者のMFA要件(TOTP、番号照合付きプッシュ通知、SMSワンタイムパスワードなど)に合わせてユーザー体験を調整できる」と指摘しています。
このキットは複数のフィッシングページの間にローディング画面を表示し、その間に攻撃者は入力された認証情報と認証要素を使って標的のMicrosoft 365アカウントへログインします。
アクセス権を獲得すると、攻撃者は標的にパスキー設定を求めるページを表示します。
続くページでは、Microsoftを名乗るプロンプトとともに(暗号資産ウォレットから流用した)BIP-39のシードフレーズの単語リストが表示され、標的にはそれを書き留めるよう指示が出されます。

「リカバリーキーを保存してください」と表示するフィッシングページ(出典: Okta)
最後に、標的はそのうちの一つを入力して「リカバリーキーの確認」を行うよう指示され、これを実行するとパスキーの登録が成功したことを示すページが表示されます。
Oktaの研究者らは次のように指摘しています。「BIP-39のシードフレーズがMicrosoft Entraやそのパスキー登録プロセスに何らかの形で直接関係しているとの情報は、われわれの把握する限り存在しません。すでにユーザーアカウントへの不正アクセスを果たした攻撃者は、実際のアカウント保有者からの入力を一切必要としないプロセスを使って、自分自身のリカバリーコードを作成できます」
「これらのパスキーをテーマにしたページは、フィッシングキットのオペレーターが用意した目くらましである可能性が高いでしょう。脅威アクター側が正規のMicrosoftユーザーアカウントに自身のパスキーを登録する間、ユーザーを何らかのタスクに集中させておくための陽動策なのです」
パスキーが格好の誘い文句になる理由
パスキーはフィッシング耐性を備え、発行元のサイトと暗号学的に紐付けられているため、本来はセキュリティ上の大きな進歩です。しかしまさにそれゆえに、攻撃者は標的のアカウントにパスキーを登録したがるのです。
Oktaの研究者らは次のように説明しています。「2026年5月時点で、Microsoft管理者はサインイン時にユーザーへパスキー登録を促す『ナッジ』キャンペーンを作成できるようになっており、状況によってはこのナッジがデフォルトで有効になっています」
Entra IDテナントにおいて登録を促すプロンプトが突然表示されるようになり、従業員もそれを目にすることに慣れてきているため、これが格好の口実となっているのです。
Oktaはこのキャンペーンが食品・飲料、テクノロジー、ヘルスケア、自動車、建設、航空各業界の企業を標的にしていることを確認しており、その狙いはデータを盾にした恐喝(データ強要)にあるとしています。
Palo Alto Networksの研究者らも、2026年6月初旬に同じキャンペーンを確認・記録しています。同社によると、被害者のアカウントへのアクセス権を得た攻撃者は、SharePointやOneDriveといったプラットフォームからデータを窃取した後、侵害したアカウントを使って最初の恐喝メールや社内向けのTeamsメッセージを送信するとのことです。
さらに研究者らは、このキャンペーンをデータ恐喝グループ・ブランドである「Pink」に関連付けています。同グループは、Discord、Telegram、ゲームプラットフォームを横断して組織化された、主に英語圏の若年層で構成される分散型サイバー犯罪ネットワーク「The Com」と関係する脅威アクターである可能性が高いとみられています。
翻訳元: https://www.helpnetsecurity.com/2026/07/09/microsoft-365-fake-passkey-setup-enrollment/