攻撃者がTycoonキットを使った偽のOAuthアプリでMicrosoft 365アカウントに侵入

サイバーセキュリティ研究者は、攻撃者が偽のMicrosoft OAuthアプリケーションを使って企業になりすまし、アカウント乗っ取り攻撃の一環として認証情報を窃取する新たな活動クラスターについて詳述しました。

「偽のMicrosoft 365アプリケーションは、RingCentral、SharePoint、Adobe、Docusignなど様々な企業になりすましています」とProofpointは木曜日のレポートで述べています。

2025年初頭に初めて検知されたこの継続中のキャンペーンは、OAuthアプリケーションをゲートウェイとして利用し、フィッシングキットであるTycoonやODxなどを用いて、ユーザーのMicrosoft 365アカウントへの不正アクセスを行うことを目的としています。これらのキットは多要素認証（MFA）フィッシングも可能です。

この手法は、50以上のなりすましアプリケーションを使ったメールキャンペーンで観測されていると、エンタープライズセキュリティ企業は述べています。

攻撃は、侵害されたアカウントから送信されるフィッシングメールから始まり、受信者に見積依頼（RFQ）や業務契約書の共有リクエストを装ったURLをクリックさせようとします。

これらのリンクをクリックすると、被害者は「iLSMART」という名前のアプリケーションのMicrosoft OAuthページに誘導され、基本プロファイルの閲覧や、付与されたデータへの継続的なアクセス権限を与えるよう求められます。

この攻撃が注目される理由は、航空、海洋、防衛産業向けの部品や修理サービスの売買を行う正規のオンラインマーケットプレイスであるILSMartになりすましている点です。

「アプリケーションの権限は攻撃者にとって限定的な利用しかできませんが、これは攻撃の次の段階を準備するために使われます」とProofpointは述べています。

ターゲットが要求された権限を許可したか拒否したかに関わらず、最初にCAPTCHAページにリダイレクトされ、その後認証が完了すると偽のMicrosoftアカウント認証ページに誘導されます。

この偽のMicrosoftページは、Tycoon Phishing-as-a-Service（PhaaS）プラットフォームによる中間者（AitM）フィッシング技術を利用し、被害者の認証情報やMFAコードを窃取します。

Proofpointによると、つい最近もAdobeになりすました別のキャンペーンを検知しており、この場合はTwilio SendGridというメールマーケティングプラットフォーム経由でメールが送信され、同様の目的で設計されています。すなわち、ユーザーの認可を得るか、キャンセルフローを誘発して被害者をフィッシングページにリダイレクトすることです。

このキャンペーンは、全体のTycoon関連活動と比較するとごく一部に過ぎませんが、複数のクラスターがこのツールキットを活用してアカウント乗っ取り攻撃を実行しています。2025年だけでも、900以上のMicrosoft 365環境にまたがる約3,000のユーザーアカウントが侵害されそうになった事例が観測されています。

「攻撃者は検知を回避し、世界中の組織へのアクセスを得るために、ますます革新的な攻撃チェーンを作り出しています」と同社は述べ、今後「攻撃者はユーザーのアイデンティティをますます標的とし、AitM認証情報フィッシングが犯罪業界の標準となる」と予想しています。

先月時点で、Microsoftは既定設定の更新を発表し、レガシー認証プロトコルのブロックや、サードパーティアプリのアクセスに管理者の同意を必須とすることでセキュリティを強化する予定です。これらのアップデートは2025年8月までに完了予定です。

「このアップデートは全体的な状況に良い影響を与え、この手法を使う攻撃者の手を縛ることになるでしょう」とProofpointは指摘しています。

この発表は、Microsoftがワークブックのセキュリティ強化のため、2025年10月から2026年7月の間に既定でブロックされたファイルタイプへの外部ワークブックリンクを無効化する決定をしたことに続くものです。

また、Seqriteによると、支払い領収書を装ったスピアフィッシングメールが、AutoItベースのインジェクターを使って.NETマルウェアVIP Keyloggerを配布し、侵害されたホストから機密データを窃取する事例も報告されています。

数か月にわたり、スパムキャンペーンがPDFファイル内にリモートデスクトップソフトウェアのインストールリンクを隠し、メールやマルウェア対策を回避する手法が確認されています。このキャンペーンは2024年11月から継続しているとみられ、主にフランス、ルクセンブルク、ベルギー、ドイツの組織が標的となっています。

「これらのPDFは、請求書や契約書、不動産リストのように偽装されており、信頼性を高めて被害者に埋め込みリンクをクリックさせるよう誘導しています」とWithSecureは述べています。「この設計は、正規のコンテンツが隠されているという錯覚を生み出し、被害者にプログラムのインストールを促すものです。今回の場合、そのプログラムはFleetDeck RMMでした。」

この活動クラスターで展開された他のリモート監視・管理（RMM）ツールには、Action1、OptiTune、Bluetrait、Syncro、SuperOps、Atera、ScreenConnectなどがあります。

「感染後のペイロードは観測されていませんが、RMMツールの利用は初期アクセス手段としての役割を強く示唆しており、さらなる悪意ある活動を可能にする可能性があります」とフィンランドの同社は付け加えています。「特にランサムウェアオペレーターはこの手法を好んでいます。」