ReliaQuestの研究者らは、Microsoft 365ユーザーを狙うフィッシング活動が急増していると報告しています。2025年後半から2026年初頭にかけて、攻撃件数は1,380%増加したとのことです。
この急増の背景にあるのは、AIを活用したフィッシング・アズ・ア・サービス(PhaaS)です。こうしたキットを使えば、スキルの低い犯罪者でも、説得力のあるブランドなりすましページを作成し、多要素認証を回避してOAuthトークンを窃取できてしまいます。
今回の調査結果は、ReliaQuestの脅威リサーチチームによる外部脅威インテリジェンスの一環であり、ReliaQuest自身のシステムにおける脆弱性を示すものではありません。
新たに特定された2つのツールは、それぞれのコマンド&コントロール(C2)パネル上でJaliscoおよびOmegaLordと呼ばれており、フィッシングの実行者が現代のID認証防御を突破するためにキャンペーンをどう再設計しているかを示しています。
攻撃者はパスワードの窃取だけにとどまらず、認証プロセス自体を標的にするケースが増えています。
Jaliscoは、Microsoftの正規のデバイス認証フローを悪用するデバイスコードフィッシングツールキットです。典型的な攻撃では、被害者は共有ドキュメント、支払いファイル、あるいはPDFを装ったフィッシングの誘い文句を受け取ります。
そのページは被害者を本物のMicrosoftログインページへ誘導し、デバイスコードを入力させます。被害者はその後、通常どおりサインインし、MFAを完了させます。
しかし実際には、被害者は攻撃者が作成したセッションを認証していることになります。このフィッシングツールは認証後に発行されるアクセストークンとリフレッシュトークンを収集し、被害者のパスワードを知ることなく攻撃者にMicrosoft 365アカウントへのアクセス権を与えてしまいます。
Jaliscoは「ルアー生成(lure-generation)」と呼ばれる新しい手法を用いています。従来のデバイスコードフィッシングページは、ページ読み込み時に固定のOAuthコードを含んでいました。こうしたコードはおよそ15分で期限切れとなるため、攻撃者にとっての有用性は限られていました。
これに対しJaliscoはバックエンドAPIを呼び出し、被害者がフィッシングページを開いた時点で新しいコードを生成します。このリアルタイム処理により有効期限(TTL)による防御を無効化し、標的が不正なサインインフローを完了させる可能性を高めています。
このツールキットには、窃取したセッションを大規模に管理するのに役立つとみられるWebポータルも含まれています。
攻撃者はその後、自らが制御するデバイスを被害者のMicrosoft Entra IDテナントに登録できます。こうしたデバイスはプライマリリフレッシュトークン(Primary Refresh Token)を受け取るため、パスワードがリセットされた後もアクセスを持続させることが可能になります。
ReliaQuestは、侵害されたアカウントに対して攻撃者が5台以上のデバイスを登録している事例を確認しており、正規のものに見せかけるため「microsoft-*」や「WINDOWS-*」といった名前を使うことが多いとしています。
この持続的アクセスの手口は、インシデント対応のコストを押し上げます。防御側はセッションの失効、不正なデバイスの特定、各デバイス登録の削除、そしてSharePointをはじめとする各種SaaSサービスへのアクセス状況の調査を行う必要があります。
攻撃者はわずか6分程度で機密データを窃取できるとされ、その後、従業員データや財務記録、社内文書を恐喝の材料として利用します。
JaliscoはEvilTokens、Kali365、Tycoon2fa、Venom、Darculaといった、より広範なフィッシングエコシステムの一部を成しています。これらのPhaaSプラットフォームは、インフラの構築、ブランドの模倣、フィッシングページの生成を自動化します。
注記: IPアドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化表記(例: [.])としています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいはご利用のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/ai-phishing-attacks-surge-2/