KnowBe4 Threat Labsは、北米の企業や専門家を標的にした高度なフィッシングキャンペーンを発見しました。攻撃者は、OAuth 2.0デバイス認可グラントフローを悪用して、Outlook、Teams、OneDriveを含むMicrosoft 365アカウントを侵害しています。
この方法は強力なパスワードと多要素認証(MFA)を回避し、企業データへの永続的なアクセスを付与します。2025年12月に最初に発見されたこの作戦は、技術、製造、金融セクターに焦点を当てており、米国での被害者が44%以上です。
盗まれたOAuthアクセストークンとリフレッシュトークンは、メール、カレンダー、ファイル、さらには管理機能への完全な読み取り/書き込み/送信アクセスを付与します。
攻撃は5つのフェーズに展開します。攻撃者がMicrosoft 365で悪意のあるOAuthアプリを登録して一意のデバイスコードを生成し、ターゲットを絞ったフィッシングメールで配信することから始まります。
被害者は悪意のあるリンクをクリックして、Microsoftサービスを模倣した攻撃者制御ページにアクセスし、正当なmicrosoft.com/deviceloginポータルでコードを入力するよう促されます。
認証情報とMFAで認証した後、Microsoftは有効なトークンを発行し、攻撃者はそれをリアルタイムで乗っ取り、長期的なアクセスを得ます。認証情報は盗まれず、実在のドメインからの正当なトークンのみが対象となるため、従来の防御を回避します。
攻撃者は緊急の社会工学的操作に頼って被害者を引き込みます。一般的な手法は信頼されたサービスになりすましたり、経済的な餌をぶら下げたりして、セキュリティトレーニングにもかかわらずクリックを促します。
これらの誘導はPhishER Plusコンソールなどのツールに表示され、キャンペーンの成功を促進します。トークンが取得されると、攻撃者は隠密アクセスを維持し、基本的なアラートをトリガーすることなく機密データを流出させます。
セキュリティチームはこの永続性から大きなリスクに直面しています。侵害されたトークンはMFAチェックを回避し、失効するまで存続し、スパイ活動、ランサムウェア準備、またはデータ盗難を可能にします。
対象セクターの北米企業は増加したインシデントを報告しており、メールとサインインログでの直ちな調査の必要性を強調しています。
翻訳元: https://cyberpress.org/microsoft-365-oauth-hijacking/