サイバー犯罪者はますます狡猾になり、企業のセキュリティプロトコルを悪用する新たな方法を見つけました。信じがたいですが事実です。彼らは正規のMicrosoft認証機能を使ってユーザーアカウントを盗んでいます。
Proofpointのリサーチチームは、「デバイスコードフィッシング」の増加を確認しました。これは、被害者に信頼できるWebサイト上でコードを入力させるだけで、自分のアカウントの完全な制御を許可させてしまうフィッシング手法です。まるで攻撃者が、セキュリティプロトコルそのものを弱点に変える方法を見つけたかのようです。では、この手法は具体的にどのように機能するのでしょうか?そして企業は身を守るために何ができるのでしょうか?見ていきましょう!
OAuthが標的になるとき:認可フローの乗っ取り
「従来のフィッシング対策の啓発では、URLの正当性確認が強調されがちです。しかしこのアプローチは、ユーザーに信頼できるMicrosoftポータルでデバイスコードを入力させるデバイスコードによるフィッシングには効果的に対処できません」と、専門家はレポートの中で報告しています。
このキャンペーンは戦術の変化を示しています。パスワードを直接盗むのではなく、ハッカーはOAuth 2.0プロトコルを通じて、アカウントそのものの「鍵」を奪います。攻撃は、デバイス認可フローを悪用します。これは、スマートTVやプリンターのように入力機能が限られたデバイスでユーザーがサインインできるように設計された機能です。正規のデバイスではコードが表示され、ユーザーは別のPCや電話でそのコードを入力してアクセスを承認します。
攻撃者はこのプロセスを乗っ取りました。コードと、Microsoftの公式サインインポータル(microsoft.com/devicelogin)へのリンクを含むフィッシングメールを送信します。URLが正規であるため、標準的なフィッシング教育はしばしば機能しません。これは単一グループだけが使う孤立した手法ではありません。Proofpointの研究者は、この手法を採用する「国家系および金銭目的の双方を含む複数の脅威クラスター」を観測しています。
ユーザーがコードを入力すると、攻撃者の悪意あるアプリケーションに、被害者のMicrosoft 365アカウントへの永続的なアクセスを可能にするトークンが付与されます。このアクセスは、「データの持ち出しなど」に利用でき、将来のセッションでユーザーのパスワードを知る必要性をしばしば回避します。
アカウント乗っ取り(ATO)攻撃。
アカウント乗っ取り(Account Takeover:ATO)とは、犯罪者が正規のアカウントを完全に掌握し、実在のユーザーになりすまして、すぐには疑われない形で行うサイバー攻撃手法です。従来型の侵害と異なり、ATOでは必ずしもパスワードの窃取は必要ありません。攻撃者は認証トークン、OAuthフロー、または正規のログイン機構を悪用して、技術的には完全に正当な形でアカウントに侵入できます。これにより攻撃は特に厄介になり、セキュリティシステムはアクセスを通常のものとして記録してしまいます。
アカウントが侵害されると、攻撃者はメールの閲覧、機密文書へのアクセス、見えない転送ルールの作成、内部不正の開始、あるいは時間をかけた永続的アクセスの維持が可能になります。パスワード変更後であっても同様です。アカウント乗っ取りは、現代の認証メカニズムとユーザーのデジタルアイデンティティそのものに置かれた信頼を悪用し、正規のアクセスを侵害のベクトルへと変えてしまうため、今日の組織にとって最も危険な脅威の一つです。
OAuthベースの攻撃では心理的要素が常に土台となる
これらの攻撃が成功する鍵は、ユーザー心理の操作にあります。餌(ルアー)によって切迫感が作り出され、しばしばセキュリティ警告や管理者からの要求を模倣します。攻撃者は、必須の確認やセキュリティ更新であるかのように見せかけることで、ユーザーを誘導し、脆弱になる行動を取らせます。
組織が多要素認証(MFA)やFIDOキーで防御を強化する一方、攻撃者は代替手段を見つけざるを得ません。正当な認可フローの悪用が次のフロンティアになりつつあります。研究者は、「Proofpointは、FIDO準拠のMFA制御の採用が進むにつれて、OAuth認証フローの悪用は今後も増加し続けると見積もっている」と結論づけています。
デバイスコードフィッシングへの防御方法
この種の攻撃への防御には、発想の転換が必要です。ユーザーにURL確認を教えるだけではもはや不十分です。デバイスコードフィッシングは正規のポータルと有効な認証フローを悪用するため、偽サイトの見分けにのみ依存した教育は効果を失います。したがって、ユーザーの意識向上に加えて、OAuthフローに対する的を絞った技術的コントロールを組み合わせることが不可欠です。
運用面では、組織は厳密に必要でない限りデバイスコードフローを制限または無効化し、より厳格な条件付きアクセス(Conditional Access)ポリシーを適用すべきです。これには、対話型ログインだけでなくOAuthフローにもMFAを含めることが含まれます。アクセスコンテキスト(場所、デバイス、セッションリスク)の制御は、一見正当なトークンの異常利用を検知するうえで極めて重要になります。
最後に、テナント内で承認されたOAuthアプリケーションを監視・統制することが不可欠です。未検証のアプリや過剰な権限を持つアプリの利用は、しばしば過小評価される侵害ベクトルです。同意(コンセント)の定期的な見直し、最小権限の原則、そしてデバイスコードフローに関連する認証ログの監視は、アクセスが永続化する前にアカウント乗っ取りを検知・封じ込めるうえで大きな差を生みます。