セキュリティ研究者は、パスワードを盗んだり多要素認証を直接回避したりすることなく、攻撃者がMicrosoftアカウントを乗っ取れる新たなフィッシング手法について警告しています。
ConsentFixとして知られるこの攻撃は、MicrosoftのAzureコマンドラインインターフェイス(CLI)に対する暗黙の信頼を悪用し、悪意のあるログインページではなく、巧妙なユーザー操作に依存します。
この攻撃は「被害者にOAuthの鍵情報を含むURLをコピー&ペーストさせてフィッシングページに貼り付けさせることで、標的アプリのOAuthトークンをだまし取る“ブラウザネイティブなClickFix攻撃”だ」と、Push Securityの研究者は述べています。
ConsentFixの標的
ConsentFixは、IDおよびアクセス管理にMicrosoft Entra ID、Microsoft 365、Azureを利用している組織を標的にします。
この攻撃はブロックや削除ができないMicrosoftのファーストパーティアプリケーションを悪用するため、攻撃者がクラウドリソースを悪用したりディレクトリデータを列挙し始めたりするまで、侵害されたアカウントが見過ごされる可能性があります。
Push Securityは、このキャンペーンが活動中であり、検索エンジン汚染と侵害されたWebサイトを通じて、ビジネスユーザーを選別して標的にしていると報告しています。
企業メールアドレスに基づいて被害者をフィルタリングすることで、攻撃者はノイズを減らし、アカウント乗っ取り成功の可能性を高めます。
ConsentFix攻撃の仕組み
攻撃は、被害者がGoogle検索結果から悪意のある、または侵害されたWebサイトへリダイレクトされるところから始まります。
これらのサイトは、正規に見せかけつつメールアドレスを収集して訪問者を選別する、偽のCloudflare Turnstile認証を表示します。
ユーザーが個人用メールを入力すると、サイトは業務用アドレスの入力を促し、企業アカウントだけが先に進むようにします。
条件を満たすメールアドレスが入力されると、被害者は「Sign In」ボタンをクリックするよう指示されます。これにより、新しいブラウザタブで正規のMicrosoftログインページが開きます。
ユーザーがすでに認証済みの場合、ドロップダウンから自分のアカウントを選択するだけで、資格情報を入力せずにサインインが完了します。
この時点で、ブラウザはユーザーのMicrosoftアカウントに関連付けられたOAuth認可コードを含むlocalhost URLへリダイレクトします。
フィッシングページは、被害者にこのURLをコピーして元のサイトへ貼り付けるよう指示します。これは一見無害な操作に見えますが、OAuthフローを完了させてしまいます。
URLを貼り付けることで、被害者は知らないうちにAzure CLI経由で攻撃者に自分のアカウントへのアクセスを許可してしまいます。
Azure CLIは信頼されたファーストパーティアプリケーションであるため、攻撃者はパスワードやMFAのプロンプト、あるいはパスキーのようなフィッシング耐性のある認証方式なしにアクセスを得られます。
攻撃者がAzure CLIを悪用する方法
Azure CLIはMicrosoft Entra ID内で暗黙に信頼されており、サードパーティアプリケーションに適用される標準的なOAuth同意制限の対象外です。
権限付与に管理者承認を必要とせず、テナント管理者がブロックしたり無効化したりすることもできません。
こうした設計上の判断により、Azure CLIは正当な管理者にとって強力なツールである一方、攻撃者にとっても理想的な標的となります。
いったんアクセスが確立されると、攻撃者はAzure Active Directoryを列挙し、クラウドリソースにアクセスし、即時のアラートを引き起こすことなく他のシステムへ横展開できる可能性があります。
このキャンペーンはさらに、同期されたIPブロッキング、選択的なJavaScript読み込み、訪問者のIPアドレスに基づく条件付きターゲティングを用いて検知を回避します。
これらの対策により、セキュリティ研究者や自動スキャナーは、単純なURL分析だけでは攻撃チェーン全体を観測できません。
ConsentFixへの防御方法
ConsentFix型の攻撃は、強力な認証制御が導入されていても、IDワークフローが悪用され得ることを浮き彫りにします。
こうした手法への防御には、OAuth同意、トークン利用、管理者アクセス経路に対するより深い可視性が必要です。
- 監視:Azure CLIの認証イベントを監視し、想定外の対話型CLIログインは不審な活動として扱う。
- 有効化して定期的にレビュー:AADGraphActivityLogsを有効化し、異常なディレクトリ列挙や非対話型ログインを検知する。
- 制限:ロールベースのアクセス制御(RBAC)を用いてAzure CLIへのアクセスを制限し、承認済みの管理者と開発者に認証を限定する。
- OAuthアプリ同意をロックダウン:管理者承認を必須にし、付与済みのアプリケーション権限を定期的に見直す。
- 条件付きアクセスとID脅威検知を適用:デバイス、場所、リスクベースの制御を含め、OAuthトークンに適用する。
- 露出を低減:トークンの有効期間を最小化し、API権限に最小権限を適用し、定期的なアクセスレビューを実施する。
これらの手順を組み合わせることで、組織はID活動の可視性を高め、OAuthベースの悪用リスクを低減できます。
ID攻撃における戦術の変化
ConsentFixは、攻撃者が資格情報を直接盗むのではなく、信頼されたアプリケーションや利便性重視のワークフローを悪用するという、IDベース攻撃におけるより広範なシフトを反映しています。
クラウドIDプラットフォームが企業システムへのアクセスをますます集約するにつれ、OAuth権限やファーストパーティツールは、広範なアクセス権と、しばしば低い監視レベルゆえに魅力的な標的となっています。
この変化は、ゼロトラスト原則の重要性を強調します。ゼロトラストは暗黙の信頼を前提とせず、ID、アプリケーション、ワークフロー全体にわたってアクセスを継続的に検証します。
翻訳元: https://www.esecurityplanet.com/threats/azure-cli-trust-abused-in-consentfix-account-takeovers/
