Proofpointによると、脅威アクターはMicrosoft Entra IDの認証リクエストでOAuthアプリケーションのクライアントIDを偽装し、サインイン成功のイベントを発生させることなく、有効なアカウントと認証情報を特定しているといいます。
この手法は、Resource Owner Password Credentials(ROPC)フローを介してMicrosoftのOAuth 2.0トークンエンドポイントを標的にしています。攻撃者はユーザー名、パスワード、そして任意に選んだclient_idの値を/common/oauth2/tokenへのリクエストに含めて送信します。
client_idは通常、Entra IDに登録されたアプリケーションを識別するための値ですが、研究者らはこの値が捏造またはランダム化できることを発見しました。
Microsoftからのレスポンスには有用な情報が含まれています。AADSTS50034エラーはユーザー名が無効であることを示し、AADSTS50126はユーザー名は存在するもののパスワードが間違っていることを示します。
さらに重要なのは、アプリケーション識別子が認識されないことを意味するAADSTS700016です。これは、アプリケーションIDが偽物であっても、入力されたユーザー名とパスワードが有効であることを示す可能性があります。
これにより攻撃者は、認証を成功させることなくユーザー名とパスワードの組み合わせを検証できてしまいます。
また、防御側がこのイベントを認証情報の侵害の証拠ではなく、アプリケーション関連のエラーとして捉えてしまう可能性があるため、インシデント対応も複雑になります。
Entraのサインインログは通常、認証リクエストが正規の登録済みOAuthアプリケーションを使用している場合、アプリケーションIDとアプリケーション名の両方を記録します。
攻撃者が構文的には有効だが未登録のクライアントIDを指定した場合、ログにはアプリケーションIDが記録される一方、アプリケーション名は空欄のままになることがあります。
不正な形式のクライアントIDが使われた場合、アプリケーションに関する両方のフィールドが欠落することもあります。それでもEntraは、攻撃者が標的のアカウントやパスワードが有効かどうかを判断する手がかりとなるエラーコードを返してしまいます。
この挙動は、Azure AD PowerShellやExchange Onlineなど、既知のアプリケーションに対する大量の認証を検知する検出手法を無効化してしまいます。
攻撃者は単一の著名なOAuthクライアントを繰り返し悪用する代わりに、数十万から数百万にも及ぶ存在しないアプリケーションIDにリクエストを分散させることができます。
この手法は、特定のアプリケーションに絞った条件付きアクセス戦略も弱体化させる可能性があります。標的とする自社製アプリケーション向けに設計されたポリシーは、リクエストが未登録または捏造されたクライアントIDを示している場合、適用されない可能性があります。
Proofpointは、この手法を用いた2件のキャンペーンを観測しています。1件目はUNK_pyreq2323として追跡されており、2026年1月14日に開始され、AWSでホストされたインフラとpython-requests/2.32.3というユーザーエージェントを使用していました。
このキャンペーンは、約4,000のEntraテナントにまたがる100万件を超えるアカウントを標的とし、70万件を超える偽装クライアントIDを使ってリクエストを分散させました。
このキャンペーンは、Exchange Onlineのアプリケーション識別子である00000002-0000-0ff1-ce00-000000000000の先頭部分をコピーし、末尾の6桁をランダム化していました。
個々の偽IDは最大12人のユーザーに対して使い回されており、アプリケーション単位での相関分析の有効性を低下させていました。失敗した試行の量により、標的となったユーザーのおよそ28%でアカウントロックアウトが発生したと報告されています。
2件目のキャンペーンはUNK_OutFlareAZと呼ばれ、2025年12月に開始され、さらに大規模に展開されました。
このキャンペーンはCloudflareのインフラやその他のサービスを利用し、200万人を超えるユーザーを標的とし、約370万件の偽装アプリケーションIDを生成しました。
1件目のキャンペーンとは異なり、UNK_OutFlareAZはリクエストごとに完全にランダムなUUIDv4形式のクライアントIDを生成していました。この使い捨て方式では、1つの偽アプリケーションIDが多数のユーザーに繰り返し関連付けられることがないため、相関分析がより困難になります。
このキャンペーンでは、Microsoft Outlook風のユーザーエージェントが使用されていました。Proofpointによれば、この文字列は過去の列挙型攻撃や攻撃ツールでも確認されているといいます。
両キャンペーンはインフラ、ユーザーエージェント、クライアントIDの生成方法、ユーザー名の列挙パターンにおいて異なっており、別々の攻撃者やツールによるものである可能性を示唆しています。
しかしいずれのキャンペーンも、従来のEntra監視を回避する手段としてOAuthクライアントID偽装が広まりつつあることを示しています。
翻訳元: https://cyberpress.org/hackers-validate-entra-credentials/