Proofpointは、正規のデバイス認可フローを悪用してMFAを回避し、永続的なアクセスを獲得するフィッシングキャンペーンについて警告した。
報告書によると、サイバー犯罪者や国家支援のハッカーは、Microsoftの正規のOAuth 2.0デバイス認可プロセスを悪用して企業アカウントを乗っ取り、多要素認証(MFA)の保護を回避し、組織の機密データへの永続的なアクセスを得るケースが増えている。
Proofpointの研究者は、デバイスコード・フィッシング手法を用いてユーザーをだまし、Microsoft 365アカウントへの不正アクセスを許可させていた複数の脅威クラスター(金銭目的と国家連携の双方)を追跡した。これらのキャンペーンは2025年9月以降に急増しており、限定的で標的を絞った攻撃から広範な悪用へと大きく移行していることを示している。
「これは必ずしも新しい手法ではないものの、複数の脅威クラスターによってますます利用されている点は注目に値する」と、Proofpoint Threat Research Teamはブログ投稿で記した。
この戦術は、金銭目的のグループが今年初めに用いた手法の進化形であり、同様のOAuth悪用を通じてGoogle、カンタス航空、そして高級ブランドのSalesforce環境に侵入し、数百の組織に影響を与えた。2025年6月に始まったこれらのSalesforce攻撃では、ボイスフィッシングが使われた。現在の波では電話を用いず、メールベースのソーシャルエンジニアリングに置き換えることで、攻撃のスケールが容易になっている。
正規のプロセスが悪用に転じる
これらの攻撃は、スマートTVやIoT機器のような入力制約のあるデバイスでの認証のために設計されたOAuthのデバイス認可フローを悪用する。ブログ投稿によれば、脅威アクターは正規のMicrosoftデバイス認可プロセスを開始し、その後、生成されたデバイスコードをワンタイムパスワードに見せかけて、Microsoft自身の検証URLで入力するよう被害者を誘導する。
研究者は「誘導文句は通常、デバイスコードがOTPであると主張し、Microsoftの検証URLでコードを入力するようユーザーに指示する」と書いている。「ユーザーがコードを入力すると、元のトークンが検証され、脅威アクターは標的のM365アカウントにアクセスできるようになる。」
攻撃が成功すると、アカウント乗っ取り、データの持ち出し、ネットワーク内での水平移動、企業リソースへの永続的アクセスの確立が可能になる。場合によっては、盗まれたデータが恐喝の試みの根拠となり、SalesforceキャンペーンでShinyHuntersが示したとおりである。
急増を後押ししているのは、これらの攻撃を容易に実行できるツールの存在だ。Proofpointは、主要なキットとしてSquarePhish2とGraphishの2つを特定した。
SquarePhish2は、2022年にDell Secureworksが公開したツールの更新版である。OAuthのDevice Grant Authorizationフローを自動化し、QRコード機能を統合している。
精査された犯罪系ハッキングフォーラムで共有されているGraphishフィッシングキットは、Azure App Registrationsと中間者(adversary-in-the-middle)攻撃機能を活用し、説得力のあるフィッシングページを作成できる。「このツールはユーザーフレンドリーに設計されており、高度な技術的専門知識を必要としないため、参入障壁を下げ、低スキルの脅威アクターでさえ高度なフィッシングキャンペーンを実施できるようにする」とProofpointの研究者はブログで記している。
これらのツールは、攻撃者が重要な制約を克服するのに役立つ。デバイスコードは通常、短時間で失効する。自動化により、従来は不可能だったより大規模なキャンペーンが可能になる。
国家アクターがサイバー犯罪者に加わる
2025年1月以降、Proofpointは、アカウント乗っ取りのためにOAuthデバイスコード認可を悪用する複数の国家連携脅威アクターを追跡しており、諜報活動の手口における懸念すべき進化を示している。
研究者は「この手法はロシア連携の脅威アクターによって最も広く使用されている」と述べ、セキュリティ企業Volexityによる以前の報告を引用した。Proofpointはまた、中国連携が疑われる活動や、その他の帰属不明の諜報キャンペーンも観測した。
ProofpointがUNK_AcademicFlareとして追跡しているあるグループは、少なくとも2025年9月以降、デバイスコード・フィッシングを実施している。ロシア連携が疑われるこのアクターは、政府および軍事組織から侵害されたメールアドレスを用い、米国および欧州全域の政府、シンクタンク、高等教育、運輸分野の組織を標的にしている。
UNK_AcademicFlareは通常、デバイスコード・フィッシングの試行を開始する前に、無害な連絡を通じて辛抱強く関係構築を行う。同グループは侵害されたアカウントを使って架空の会議や面談を設定し、その後、OneDriveアカウントを装ったCloudflare WorkerのURLへの悪意あるリンクを共有する。
Volexityの研究者は、ロシアのアクターが正規の欧州セキュリティ会議を装った偽サイトを作成し、参加者をだましてOAuthアクセスを付与させた最近のキャンペーンで、同様の戦術を記録している。
広範なキャンペーンが金銭的誘因を狙う
金銭目的の脅威アクターもデバイスコード・フィッシングを取り入れている。Proofpointは、Microsoft OneDrive、LinkedIn、DocuSignを装うキャンペーンで知られる大量配信型の認証情報フィッシングアクターTA2723の活動を取り上げた。
2025年10月から、TA2723は給与や福利厚生をテーマにした誘因を用いたキャンペーンを開始した。あるキャンペーンでは、「OCTOBER_SALARY_AMENDED」および「Salary Bonus + Employer Benefits Reports 25」というタイトルの文書が含まれていると称するメールメッセージが使用された。
これらのメッセージは受信者をURLへ誘導し、最終的にデバイスコード認可ページへ到達させ、被害者がワンタイムパスコードを生成して入力するようだまされた。Proofpointの研究者は、TA2723がキャンペーンの波ごとにSquarePhish2とGraphishの両方のツールを使用した可能性があるとみている。
2025年のShinyHuntersキャンペーンは、潜在的な被害の大きさを示した。別件だが関連するOAuth悪用インシデントでは、脅威アクターがSalesloft/Drift統合から盗まれたOAuthトークンを悪用し、数百の組織におけるSalesforceインスタンスへアクセスした。Cloudflare、Zscaler、Tenableを含む企業は、データへの不正アクセスを公に開示し、侵害通知要件が発生した。
Proofpointは、デバイスコードフローを完全にブロックする条件付きアクセス(Conditional Access)ポリシーを作成するか、承認済みユーザーとIP範囲の許可リストを実装することを推奨した。研究者は「従来のフィッシング対策の啓発では、URLの正当性を確認することが強調されがちだ。このアプローチは、信頼されたMicrosoftポータルでデバイスコードの入力を促されるデバイスコード・フィッシングには効果的に対処できない」と記している。
Microsoftは、この調査結果に関するコメント要請に応じなかった。
