- Proofpoint、Microsoft OAuth 2.0のデバイスコードフローを悪用したフィッシング急増を報告
- 被害者は実在するMicrosoftドメインでコードを入力し、攻撃者にアクセストークンを付与
- Proofpointはデバイスコードフローのブロックを推奨
国家支援の脅威アクターを含むサイバー犯罪者が、MicrosoftのOAuth 2.0デバイスコード認証フローを悪用してMicrosoft 365アカウントを乗っ取る事例が増えている。
これは、サイバーセキュリティ研究者であるProofpointによる新しい報告書で明らかになったものだ。12月18日に公開された新しい論文で研究者は、2025年9月以降、被害者が自分のアカウントへのアクセスを許可してしまうよう誘導されるソーシャルエンジニアリング攻撃が急増していることを確認したとしている。
攻撃は通常、リンクまたはQRコードを含むフィッシングメールから始まる。その後、内容を閲覧するには、Microsoftのログインページでデバイスコードを入力してアカウントを再認証する必要がある、と被害者に伝えられる。
ロシア、中国など
コードを入力すると、脅威アクターは被害者のアカウントに紐づいたアクセストークンを受け取り、アクセスできるだけでなく、メール監視、ラテラルムーブメントなども可能になる。
さらにProofpointは、ログインは実在するMicrosoftドメイン上で行われるため、従来のフィッシング対策やユーザーの注意喚起によるチェックはほとんど役に立たないと説明する。攻撃者は実際にはパスワードやMFAコードを盗んでいるわけではないため、そこでもアラートは発生しない。
Proofpointによれば、現在この手法を悪用しているグループは複数存在し、TA2723(金銭目的の脅威アクター)、UNK_AcademicFlare(サイバー諜報を目的に政府・軍のメールアカウントを標的とするロシアの国家支援脅威アクター)、および中国の複数グループが含まれるという。
また、犯罪者はSquarePhish 2やGraphishなど、異なるフィッシングフレームワークも使用しているとされる。これらはデバイスコード悪用を自動化し、QRコードをサポートし、Azureのアプリ登録と統合できる。これにより参入障壁が下がり、スキルの低い脅威アクターでも攻撃に加われるようになる。
Proofpointは、OAuthおよびデバイスコード認証の悪用は今後増加する可能性が高いと見ている。特に、組織がパスワードレス認証やFIDOベースの認証を採用するにつれてその傾向が強まるとして、可能な場合は条件付きアクセスを通じてデバイスコードフローをブロックすることを推奨している。
