複数の業界にわたる組織が、Microsoft 365の認証情報を窃取することを狙ったビッシングキャンペーンの標的となっていると、Oktaが警告しています。
このキャンペーンは2026年4月に始まったもので、被害者に対して音声通話を行い、新しいパスキーを登録する必要があるという口実で、偽のMicrosoft Entra IDログインページへ誘導する手口が使われています。
O-UNC-066として追跡されているこのハッキンググループは、CL-CRI-1147またはPinkという別名でも知られており、自動車、航空、建設、飲食、医療、テクノロジー分野の組織を主にデータ恐喝目的で狙っています。
これまでに確認された攻撃では、脅威アクターは「passkey」という単語を含むドメインを登録し、Microsoftのパスキー登録プロセスを忠実に模倣したページへ被害者を誘導しています。
「これは、対象となったユーザーに対し、Microsoftへパスキーを登録している最中だと信じ込ませるよう作り込まれているようです。その一方で、脅威アクターは同時進行で、標的となったユーザーのMicrosoftアカウントに自分自身のパスキーを登録します」とOktaは述べています。
偽のMicrosoft Entra IDログインページは、フィッシングキットのバックエンドから被害者ごとにカスタマイズされ、正規のブランディングを用いるとともに、Microsoftのコンテンツ配信ネットワークからコンテンツを読み込みます。
他のフィッシングキットとは異なり、これはオペレーターが直接操作するPHP製の管理パネルであり、認証情報や多要素認証(MFA)トークン、セッショントークンを自動的には収集しません。
その代わりに、脅威アクターはほぼリアルタイムで被害者を複数の認証段階に誘導し、様々なMFA要件に対応できるよう、セッション中にページの内容や通知を随時変更します。
「脅威アクターはこのキットを使ってユーザーアカウントを乗っ取り、攻撃者が開始したパスキー登録を被害者に承認させるよう仕向けている可能性が高いとみられます」とOktaは指摘しています。
攻撃の各段階を通じて、これらのフィッシングページは解析対策のチェックを実行し、フェデレーションID プロバイダーへリダイレクトすることなくユーザー名の入力を求め、さらにパスワードの入力を要求します。このパスワードは、オペレーターがリアルタイムで被害者のアカウントにアクセスする際に使われている可能性が高いとみられます。
次に、被害者には処理中であることを示すページが表示されます。この間にオペレーターはおそらくアカウントに認証を行い、有効化されているMFAの種類を確認したうえで、被害者に何を表示するか(SMSワンタイムパスワード、TOTP、プッシュ通知型MFAのいずれか)を選択しているとみられます。
このキャンペーンの誘導手口に沿って、攻撃者はその後、ユーザーをパスキー登録ページへリダイレクトすることができます。このページでは、脅威アクターが管理するBIP-39形式の単語リストからリカバリーキーを保存するよう求められます。続いて被害者は、そのシードフレーズで使われた最後の単語を確認するよう求められます。
「このフィッシングキットは、ユーザーがパスキー認証に不慣れである点につけ込んでいるように見えます。実際のパスキー登録手続きでは、ユーザーは自分のデバイス上でパスキーを登録するシステムダイアログを想定するはずです。このフィッシングキットのパスキーページは、実際にはパスキーを登録することなく、このプロセスを模倣しているように見えます」とOktaは指摘しています。
同社によれば、BIP-39形式のシードフレーズはMicrosoft Entraにおいて直接的な用途を持たないとみられ、このハッキンググループはこの手順を目くらまし(注意をそらす手段)として使っている可能性があります。その一方で、攻撃者が管理するパスキーが被害者のアカウントに登録されてしまいます。
「ユーザーがMicrosoftにパスキーを登録するたびに、侵害されたアカウントの持ち主には、新しいパスキーがアカウントに登録されたことを知らせる正規のMicrosoftからのメールが届きます。今回の攻撃では、実際にはそのパスキーは脅威アクターがMicrosoftに対して直接登録したものですが、脅威アクターは、標的となったユーザーが無害だと感じるような名前をそのパスキーに付けることができる立場にあります」とOktaは説明しています。
翻訳元: https://www.securityweek.com/okta-warns-of-vishing-attacks-targeting-microsoft-365-customers/