ハッカー、OAuthデバイスコードとEntra IDの端末登録を悪用しSaaSへの持続的アクセスを確保

2026年、AI対応のフィッシング・アズ・ア・サービスが急拡大したことで、ID関連の攻撃が急増しています。攻撃者は、OAuthデバイス認可フローとMicrosoft Entra IDのデバイス登録機能を悪用し、SaaS環境への持続的なアクセスを確保するケースが増えています。

「Jalisco」は、OAuthデバイスコードをリアルタイムで生成し、被害者がMicrosoftの正規サインインポータルで認証を完了した後に発行されるトークンを窃取するデバイスコードフィッシングツールキットです。

この手口はパスワードを盗む必要がありません。代わりに、偽の文書やコラボレーションを装った誘い文句を見せながら、攻撃者が用意したコードを被害者に入力させ、認証リクエストを承認させます。

被害者が認証を済ませ、多要素認証(MFA)も完了すると、攻撃者が制御するフローがIDプロバイダーからアクセストークンとリフレッシュトークンを取得します。

これにより、従来の認証情報窃取に伴う多くの検知シグナルを発することなくMicrosoft 365のリソースへアクセスできてしまいます。そのため、パスワードのリセットだけでは侵入者を排除できない可能性があります。

ReliaQuestによると、Jalisckoは「ルアー生成」機能を採用しており、被害者がフィッシングページを開くと同時にバックエンドAPIが新しいデバイスコードを生成します。これは、事前生成済みのコードを誘い文句に埋め込む従来型のデバイスコードキットとは異なる点です。

デバイスコードは通常、およそ15分で失効するため、リアルタイムでの発行はこの運用上の制約を取り除き、キャンペーンが時間制限に基づく防御策の影響を受けにくくなります。

このツールキットにはWebベースの管理ポータルも含まれており、運用者は捕捉したセッションを追跡し、複数の侵害済みアカウントを管理できます。

ReliaQuestはJaliscoとOmegaLordという2つのツールを特定しており、これらはフィッシングインフラがMFAを回避し、従来型のアカウント修復対策を無力化するために作り直されている実態を示しています。

この設計から、デバイスコードフィッシングが手動操作による手口から、スケーラブルなサービスモデルへと進化しつつあることがうかがえます。

Image

報告によれば、攻撃者はトークン窃取と、Microsoft Entra IDへの不正なデバイス登録を組み合わせて使用しています。

悪用されるOAuthデバイスコードとEntra ID

攻撃者が制御するエンドポイントを侵害済みテナントに登録することで、攻撃者はプライマリリフレッシュトークン(PRT)を取得できます。このトークンは、登録されたデバイスが有効である限り更新され続ける可能性があります。

これにより、パスワードの変更や個別のブラウザセッションの終了があっても存続する持続性が生まれます。

ReliaQuestは、単一の侵害済みアカウントに対して5台を超えるデバイスを登録する攻撃者を確認しており、「microsoft-」や「WINDOWS-」といった一見普通に見えるデバイス名がよく使われていました。

Image

デバイスが登録されるたびに、インシデント対応の作業負荷は増大します。防御側は、悪意ある登録をすべて特定して削除し、セッションとトークンを失効させ、アカウントの修復を宣言する前にID設定を検証する必要があります。

この攻撃活動は特に、顧客情報、従業員記録、財務データ、社内コミュニケーションを含むSharePoint、OneDrive、Exchange Onlineといったその他のSaaSサービスに依存する組織にとって懸念材料となります。

ReliaQuestは以前、攻撃者がわずか6分でデータの持ち出しを開始できると報告しており、窃取されたデータが恐喝に使われる前に手動で調査できる時間はごくわずかしか残されていません。

2つ目のツールキット「OmegaLord」は、より従来型のフィッシング手法によってMFAを突破しようとする並行した取り組みを示しています。このJavaScriptベースの認証情報収集ツールは、PDFリーダーのログインページを装い、メールアドレス、パスワード、電話番号を収集します。

電話番号の収集が注目される理由は、SIMスワップ攻撃やMFAの傍受、SMSや音声による認証を利用するユーザーを標的とした標的型ソーシャルエンジニアリングを支援する可能性があるためです。

これらのツールは、EvilTokens、Kali365、Tycoon2FA、Venom、DarculaといったAI搭載のフィッシング・アズ・ア・サービスプラットフォームとともに登場しています。

これらのプラットフォームは、URLから標的のブランディングを複製し、Cloudflareのworkers[.]devプラットフォームを含む正規のサービスを通じてフィッシングページを展開できます。

信頼されたクラウドホスティングドメインが利用されることで、単純なブロックリストやシグネチャベースのメールセキュリティ対策の効果が薄れてしまいます。

セキュリティ啓発トレーニング

組織は、業務上必要でない限り、Microsoft Entra IDでデバイスコードフローを無効化すべきです。

Microsoftの文書によると、管理者は「条件」>「認証フロー」の条件付きアクセスポリシーを通じてこれをブロックでき、対象範囲をすべてのユーザーとクラウドアプリに設定した上で、限定的に文書化された例外を設けることができます。

セキュリティチームはまた、アプリケーション登録を監査し、デバイス登録を承認済みグループに制限し、デフォルトのデバイス登録上限数を引き下げるべきです。

インシデント発生時、対応者はアクティブなセッションを失効させ、リフレッシュトークンを無効化し、新たに登録されたデバイスを調査し、不正なエンドポイントを削除し、必要に応じて影響を受けたアカウントを無効化すべきです。

監視においては、異常なデバイスコード認証、急なEntraデバイス登録、異常なOAuthトークンの動作、SaaSリポジトリへの急速な大量アクセスを優先的に検出する必要があります。

IOC(侵害指標)

痕跡 詳細
authplanned[.]online Jaliscoデバイスコードキットのドメイン
grantfundingapplications[.]com Jaliscoデバイスコードキットのドメイン
sessionopen0[.]site Jaliscoデバイスコードキットのドメイン
levaquin2us[.]top Jaliscoデバイスコードキットのドメイン
hxxps://WINGBOARD[.]b-cdn[.]net/PROOF%20OF%20PAYMENT%2022TH[.]html OmegaLordのURL
hxxps://file[.]kiwi/7ab7c290#z_n5Qh8kwioCUs8jQ6WWhw OmegaLordのURL
nuclear-rose-7ci1cmml-dpoaxo1bhyxi[.]edgeone[.]app フィッシングドメイン
pebr-gl6z-0vzu-434xz[.]b-cdn[.]net フィッシングドメイン
secure-folder-9f8a2983fbf5479e8d8c267e0df4e73d[.]3vvcompany[.]com フィッシングドメイン
116ec3a1ad128d7d[.]darkwebf[.]workers[.]dev フィッシングドメイン

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化表記(例: [.])しています。再度有効な表記に戻す場合は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。

2019年当時のSOC向けに書かれたSLAはもう終わりに——2026年版AI SLA ベンダーチェックリスト – 無料の AI SOC SLA ガイドをダウンロード

翻訳元: https://gbhackers.com/oauth-device-codes-and-entra-id-abused/

ソース: gbhackers.com