複数の脅威アクターが、OAuthのデバイスコード認可メカニズムを悪用するフィッシング攻撃でMicrosoft 365アカウントを侵害しています。
攻撃者は被害者をだまして、Microsoftの正規のデバイスログインページでデバイスコードを入力させ、攻撃者が管理するアプリケーションを知らないうちに認可させます。これにより、資格情報を盗んだり多要素認証(MFA)を回避したりすることなく、標的アカウントへのアクセスを得られます。
この手法自体は新しいものではないものの、メールセキュリティ企業Proofpointによると、これらの攻撃は9月以降、件数が大幅に増加しており、TA2723のような金銭目的のサイバー犯罪者と、国家に連携する脅威アクターの双方が関与しています。
セキュリティ企業は「Proofpoint Threat Researchは、デバイスコードフィッシングを用いてユーザーをだまし、脅威アクターにMicrosoft 365アカウントへのアクセスを許可させる複数の脅威クラスターを観測した」と警告し、こうした攻撃フローを用いた大規模キャンペーンは「極めて異例」だと付け加えました。
ツールとキャンペーン
Proofpointがキャンペーンで観測した攻撃チェーンにはわずかな違いがあるものの、いずれも被害者をだましてMicrosoftの正規のデバイスログインポータルでデバイスコードを入力させる点は共通しています。
場合によってはデバイスコードがワンタイムパスワードとして提示され、別のケースではトークンの再認可通知が誘因として使われます。
研究者は、攻撃で使用されたフィッシングキットとしてSquarePhish v1およびv2、そしてGraphishの2種類を観測しており、これらはフィッシングのプロセスを簡素化します。
SquarePhishは公開されているレッドチーミングツールで、QRコードを介してOAuthのデバイス許可(device grant)認可フローを標的にし、正規のMicrosoftのMFA/TOTP設定を模倣します。
Graphishは地下フォーラムで共有されている悪意あるフィッシングキットで、OAuthの悪用、Azureのアプリ登録(App Registrations)、および中間者(AiTM)攻撃をサポートします。
Proofpointが観測したキャンペーンについて、研究者はレポートで次の3つを強調しました:
- 給与ボーナス攻撃 – 文書共有を装った誘導とローカライズされた企業ブランディングを用いて受信者にリンクをクリックさせ、攻撃者が管理するWebサイトへ誘導するキャンペーン。被害者はその後、Microsoftの正規のデバイスログインページで提供されたコードを入力して「安全な認証」を完了するよう指示され、これにより攻撃者が管理するアプリケーションが認可されます。
出典:Proofpoint
- TA2723の攻撃 – 大量の資格情報フィッシングに関与するアクターで、これまでMicrosoft OneDrive、LinkedIn、DocuSignのなりすましで知られていましたが、10月にOAuthデバイスコードフィッシングの使用を開始しました。Proofpointは、これらのキャンペーンの初期段階ではSquarePhish2が使用され、後続の波ではGraphishフィッシングキットへ移行した可能性があると評価しています。
出典:Proofpoint
- 国家に連携する活動 – 2025年9月以降、Proofpointは、アカウント乗っ取りのためにOAuthデバイスコード認可を悪用する、ロシアに連携している疑いのある脅威アクター(UNK_AcademicFlareとして追跡)を観測しました。このアクターは侵害された政府および軍のメールアカウントを使って信頼関係を築いたうえで、OneDriveを装うリンクを共有し、被害者をデバイスコードフィッシングのワークフローへ誘導します。この活動は主に、米国および欧州の政府、学術機関、シンクタンク、運輸部門を標的としています。
出典:Proofpoint
これらの攻撃を防ぐため、Proofpointは、可能な場合はMicrosoft Entra 条件付きアクセスを使用し、サインイン元に関するポリシーの導入を検討するよう組織に推奨しています。
