Proofpointは、攻撃者が偽のログインページではなく、完全に正当なOAuthの仕組み――デバイスコード認可――を介して企業のMicrosoft 365アカウントを乗っ取るフィッシング攻撃が急増していると警告している。被害者は本物のMicrosoftサイトで「ワンタイムコード」を入力するよう説得され、結果として攻撃者にアクセストークンを付与してしまい、アカウント乗っ取り、データ流出、組織内でのさらなる水平展開を可能にしてしまう。
研究者らは、金銭目的のアクターから国家支援が疑われるグループまで、複数のクラスターを追跡しており、OAuth 2.0のデバイス認可グラントフローを通じてユーザーにアプリケーションアクセスを「承認」させるため、さまざまなソーシャルエンジニアリング手法を用いている。攻撃は通常、リンクがボタン、ハイパーリンク、またはQRコードの背後に隠されたメールから始まる。クリックすると、Microsoftの公式プロセスを悪用する一連の流れが開始される。デバイスコードが(ページ上、または攻撃者からの追撃メールで)提示され、「強化された検証」や「トークンの再認可」のためのOTPとして装われる。被害者はMicrosoftの信頼された検証ポータルへ誘導され、コードの入力を求められる。その時点で元のトークンが検証され、制御が攻撃者に渡ってしまう。
Proofpointは、この手法自体は新しいものではなく、以前から標的型攻撃や限定的なレッドチーム演習で見られていたものの、2025年9月までに異例の大規模キャンペーンへとエスカレートしたと指摘する。大きな加速要因となったのは、デバイスコードの有効期間が短いにもかかわらず配布をスケールさせられるツールや既製コンポーネントの登場だ。研究者らはその一つとしてSquarePhish2を挙げている。これは2022年に初公開され、その後更新されたSquarePhishの進化版で、改訂版が独立研究者により2024年にGitHub上に公開された。
SquarePhish2は、攻撃を見慣れた多要素認証のセットアップフローのように見せかける。QRコードを含むメールは攻撃者が管理するサーバーへ誘導し、そのサーバーが、事前設定されたクライアントIDを用いてOAuthプロセスを開始しつつ、被害者を正規のMicrosoftログインページへリダイレクトする。デバイスコードはMicrosoftテナントからの2通目のメールで届く場合もあれば、ユーザーがコード入力ページへ自動的に転送される場合もある。
別のツールキットとして挙げられているのがGraphishで、これは非公開の犯罪フォーラムで流通し、「信頼された」メンバーに無償配布されていた。Microsoftアカウントに対する大量攻撃向けに設計されており、リバースプロキシを介して説得力のあるフィッシングページや中間者(AitM)シナリオの作成を支援する。被害者が資格情報を入力しMFAを完了すると、攻撃者はセッションを奪取する。信憑性を高めるには、攻撃者はドメインとSSL証明書に加え、Azureのアプリ登録とクライアントIDを用意して、被害者をOAuth権限付与へ誘導する必要がある。Proofpointは、こうしたキットが参入障壁を劇的に下げ、低スキルの犯罪者でも高度な攻撃を実行できるようにしていると強調する。
例としてProofpointは、12月8日に発見されたキャンペーンを説明している。被害者は「Salary Bonus + Employer Benefit Reports 25(給与ボーナス+雇用主福利厚生レポート25)」というタイトルの、共有されたはずの文書に関する「リマインダー」メールを受け取った。リンクは攻撃者管理サイトへつながり、IPアドレスに基づいてローカライズされ、標的組織に合わせたブランド表示が施されていた。メールアドレスを入力すると、被害者にはコードと、Microsoftのデバイス認可ページでそれを入力するよう指示する「安全な認証」プロンプトが表示された。これは実質的に、攻撃者にMicrosoft 365へのアクセスを付与する行為だった。
研究者らはまた、OneDrive、LinkedIn、DocuSignのなりすましで知られる金銭目的の大量フィッシャーTA2723についても詳述しており、同グループは2025年10月にデバイスコードの使用を開始した。10月9~10日のある波では、受信者に合わせてパーソナライズされた共有ファイルを装うメールが送られた。リンクをクリックすると最初は「OTP生成」ページへ誘導され、その後ボタンの挙動が変わって被害者をMicrosoftの正規ポータルへリダイレクトし、被害者は気づかないまま攻撃者管理のアプリケーションを認可してしまった。タイミング、戦術の変化、そして第2波の直前にGraphishが非公開フォーラムに登場したことから、ProofpointはTA2723のキャンペーンがSquarePhish2とGraphishを活用していた可能性があると見ている。
Proofpointによれば、国家支援が疑われるアクターも2025年1月以降、デバイスコード・フィッシングを採用しており、パスワードレス・フィッシングへの広範な移行と一致している。この手法はロシア系と見られるグループで最も広く観測されており、中国系が疑われる活動や、他の帰属不明のスパイ活動キャンペーンも指摘されている。代表例としてUNK_AcademicFlareが挙げられ、Proofpointは少なくとも2025年9月以降これを追跡している。これらのキャンペーンでは、攻撃者は政府・軍事組織の侵害済みメールアカウントを用い、一見無害なやり取りを通じて信頼を構築し、最終的に架空の会議や面談へ標的を誘導したうえで、「質問が書かれた文書」へのリンクを送付した。リンクはOneDriveを装うCloudflare WorkerのURLを指し、デバイスコードフローを開始して、被害者にコードをコピーしMicrosoftのログインページで続行するよう指示した。
推奨事項としてProofpointは、条件付きアクセス(Authentication Flows条件を使用)によりデバイスコードフローをブロックすることが、少なくとも当初はレポート専用モード、または過去のサインインログを用いた影響評価を通じて実施する形で、最も信頼できる緩和策だと述べている。全面的なブロックが難しい場合は、許可リスト(allow-list)モデルが推奨され、ユーザー、OS、IPレンジ、または名前付きロケーションによる制限を設けるべきだとしている。
追加のガイダンスとして、(デバイス登録やIntuneを使用している場合に)管理対象または準拠デバイスからのサインインのみを要求すること、そしてユーザートレーニングの見直しが含まれる。これらの攻撃では、コードが正規のMicrosoftドメイン上で入力されるため、URLの確認はほとんど防御にならない。重要な危険信号は、信頼できないソースから入手したデバイスコードの入力を求められることだ。Proofpointは、FIDO対応のMFA手法がより普及するにつれて、OAuthの仕組みの悪用が増加すると見ている。
