サイバーセキュリティ企業Proofpointは、国家支援系および金銭目的の脅威アクターの双方が、Microsoft 365(M365)アカウントを侵害するためにOAuth 2.0のデバイス認可グラント(Device Authorization Grant)フローを悪用するケースが増加していると警告しました。
攻撃者はフィッシング手口と欺瞞的なメッセージを用いて、被害者に悪意あるアプリケーションへのアクセス許可を与えさせ、アカウント乗っ取り、データ流出、長期的な不正アクセスを引き起こします。
これらのキャンペーンは高度なソーシャルエンジニアリングに依存しており、Microsoft OneDriveや社内の文書共有システムなど、信頼されているサービスになりすまします。被害者にはリンクまたはQRコードを含むフィッシングメールが送られ、正規のMicrosoftデバイスログインページへリダイレクトされます。
リンクを開くとデバイスコードが表示され、しばしばワンタイムパスワードに偽装されます。そしてユーザーは、Microsoftの正規のデバイスログインページである microsoft.com/devicelogin にて、そのコードを入力するよう指示されます。
コードを入力すると、被害者は気付かないうちに攻撃者が管理する悪意あるアプリケーションを承認してしまいます。この操作によりOAuthトークンが付与され、盗まれた認証情報を必要とせず、また多要素認証を回避することなく、Microsoft 365アカウントへ直接アクセスできるようになります。
Proofpointは、デバイスコードを用いたフィッシングは以前は小規模なレッドチーム演習や標的型攻撃に限られていたものの、2025年9月までに広範に拡大したと指摘しました。
この大規模な採用は、複数の脅威クラスターにおける戦術の大きな進化を示しており、彼らは自動化ツールセットを用いてプロセスを効率化しています。
Proofpointによると、脅威アクターはSquarePhish2やGraphishといったフィッシングフレームワークを用いて、これらの攻撃を組織的に実行しています。
SquarePhish2は、元のSquarePhishツールの高度版で、MicrosoftのOAuthフロー内でQRコードや自動リダイレクトを利用できるため、フィッシングの一連の流れが完全に正規のものに見えるようになります。
さらに、正規の多要素認証であるかのような錯覚を強めるため、確認コードを含むフォローアップメールを送信することさえ可能です。
一方Graphishは、Azureのアプリ登録(App Registrations)とリバースプロキシ基盤を用いて中間者(adversary-in-the-middle)攻撃を実行し、認証ストリームからセッショントークンを直接取得します。
金銭目的のグループTA2723は、この手法の最も活発な利用者の一つで、「給与ボーナス+雇用主福利厚生レポート25」といったテーマで大量のフィッシングキャンペーンを展開しています。
これらのメッセージはユーザーを偽のログインポータルへ誘導し、最終的にMicrosoftの正規のデバイス認可ページへリンクさせることで、不正アクセスにつながります。国家支援のアクターもこの手法を採用しています。
Proofpointは、注目すべき一連の波の一つを、UNK_AcademicFlareとして知られるロシア寄りと疑われるグループによるものだとし、侵害された政府のメールアカウントとCloudflare上でホストされたフィッシングサイトを用いて、欧州および米国の当局者、シンクタンク、学術機関を標的にしたとしています。
Proofpointは組織に対し、条件付きアクセス(Conditional Access)ポリシーでデバイスコードフローをブロックし、OAuth制御を強制し、予期しない送信元からのデバイスコードを入力しないようユーザーを訓練することを推奨しています。
OAuth認証メカニズムの悪用が拡大していることは、信頼されてきたIDプロセスが、フィッシングによるアカウント侵害の新たな最前線になりつつあることを浮き彫りにしています。
翻訳元: https://cyberpress.org/oauth-device-code-phishing-attacks/