Proofpointは、SharePointやDocuSignなどの信頼できるブランドを装った悪意のあるOAuthアプリケーションを使い、Microsoft 365アカウントへの侵入を試みるキャンペーンを観測しました。
脅威アクターは、多要素認証(MFA)をすり抜ける巧妙な方法を考案し、ユーザーに信頼できるブランドを装った偽のアプリアクセス要求を承認させることで騙しています。
Proofpointの調査によると、攻撃者はSharePointやDocuSignなどの信頼できるブランドを模倣した偽のMicrosoft OAuthアプリを作成し、ユーザーを騙して認証情報を盗み取っています。
「Proofpointは、Microsoft OAuthアプリケーションの作成とリダイレクトを利用し、悪意のあるURLに誘導して認証情報をフィッシングする活動のクラスターを特定しました」とProofpointの研究者はブログ投稿で述べています。「このキャンペーンの目的は、OAuthアプリケーションをゲートウェイとして利用し、主にMFAフィッシングを通じてMicrosoft 365アカウントへのアクセスを得ることです。」
Microsoft OAuthアプリは、MicrosoftのIDプラットフォーム(Azure AD/Entra ID)を利用して、ユーザーに代わってMicrosoft 365、OneDrive、Outlook、Teams、SharePointなどのサービス内のデータへのアクセス許可を要求するアプリケーションです。
MFA回避のためのOAuthなりすまし
Proofpointによると、なりすましアプリは説得力のある名称やロゴ、許可プロンプトを使用してユーザーを騙し、警戒心を抱かせることなくアクセスを承認させていました。
被害者が「承認」をクリックすると、CAPTCHAを経由して偽のMicrosoftログインページにリダイレクトされます。CAPTCHAステップは自動化されたスキャナーによる攻撃検知を防ぐアンチボット対策として機能します。裏では、TycoonやODxのようなフィッシングキットがログイン認証情報やセッショントークンを取得し、攻撃者がMFAを回避してMicrosoft 365アカウントへの永続的なアクセスを得ることが可能になります。
「このフィッシングキャンペーンは、Tycoonのような多要素認証(MFA)攻撃者中間者(AiTM)フィッシングキットを活用しています」と研究者らは付け加えています。「このような活動は、情報収集、横展開、さらなるマルウェアのインストール、または侵害されたアカウントから追加のフィッシングキャンペーンを実施するために利用される可能性があります。」
この手法は特に危険であり、OAuthトークンはパスワードリセット後も有効である場合があります。侵害されたユーザーがパスワードを変更しても、攻撃者はOAuthトークンが取り消されるまでメールやファイル、その他のクラウドサービスにアクセスし続けることができます。
Proofpointによれば、このキャンペーンではRingCentral、SharePoint、Adobe、DocuSignなど50以上の信頼できるブランドが悪用されました。
Microsoftが脅威抑制に向けて対策
このキャンペーンの一環として、侵害されたビジネスアカウントから数千通もの悪意のあるメッセージが送信されており、それぞれが有名企業を装っています。一部の誘導では「プロフィールの表示」や「付与されたデータへのアクセス維持」など、一見無害に見える権限を要求していました。
Proofpointは、観測したアプリを2025年初頭にMicrosoftへ報告したと述べており、同社が2025年6月に発表したMicrosoft 365のデフォルト設定変更によって、攻撃者によるサードパーティアプリのアクセス悪用が大幅に制限されると予想しています。アップデートは7月中旬から展開が始まり、2025年8月までに完了する予定です。
MicrosoftはCSOからのコメント要請にすぐには応じませんでした。
Proofpointは、効果的なBEC(ビジネスメール詐欺)対策の実施、クラウド環境での不正アクセスの遮断、メール内の潜在的に悪意のあるリンクの隔離を推奨しています。さらに、Microsoft 365のセキュリティリスクについてユーザー教育を行い、FIDOベースの物理セキュリティキーによる認証強化も有効です。キャンペーンで観測された悪意のあるMicrosoft OAuthアプリケーションIDやTycoonの指紋も、検知設定のために共有されました。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。