OAuthデバイスコードフィッシングキャンペーン Microsoft 365を標的に急増

Microsoftの OAuth デバイスコード認可フローを悪用したフィッシングキャンペーンの急増が観測されており、複数の脅威グループがこの手法を使用して Microsoft 365 アカウントへの不正アクセスを行っています。

Proofpointが本日公開した新しい勧告によると、国家が支援するアクターと金銭的動機を持つアクターの双方が、ソーシャルエンジニアリングを利用してユーザーを騙し、悪意あるアプリケーションを承認させ、アカウント乗っ取り、データ盗難、および更なる侵害を可能にしています。

これらの攻撃は、入力機能が限定されているデバイスでユーザーがサインインするのを支援するために設計された正当なプロセスである OAuth 2.0 デバイス認可付与に依存しています。

被害者が攻撃者が管理するアプリケーションによって生成されたデバイスコードをMicrosoftの信頼できる検証ページに入力すると、脅威アクターは有効なアクセストークンを受け取ります。そのトークンは、侵害された M365 アカウントを制御するために使用される可能性があります。

QRコード、埋め込みボタン、ハイパーリンク

デバイスコードフィッシングは新しい技術ではありませんが、Proofpointは2025年9月までにその使用が急増していることを観測しました。

研究者たちは、攻撃チェーンを開始するために QR コード、埋め込みボタン、またはハイパーリンクテキストに依存する異常に広範なキャンペーンに気づきました。ルアーはしばしば文書共有、トークン再認可、またはセキュリティ検証に関するものだと主張していました。

12月8日に検出されたあるキャンペーンは、「給与ボーナス + 雇用主福利厚生レポート 25」というタイトルの偽造共有文書を使用しました。被害者は攻撃者が管理するアドレスからのメールを受け取り、彼らの組織に合わせてブランド化されたローカライズされたウェブサイトに誘導されました。

その後、ユーザーはMicrosoftのデバイスログインページにコードを入力するよう促され、知らずにアカウントへのアクセスを許可してしまいました。

Proofpointはこれらのキャンペーンの増加を、デバイスコード悪用を簡素化する容易に入手可能なフィッシングツールに結び付けました。2つのツールが注目されました:

両方のツールはユーザーフレンドリーに設計されており、限定的な技術スキルしか必要としないため、幅広い脅威アクターがアクセスできるようになっています。

Proofpointは、TA2723として追跡されている金銭的動機を持つアクターが2025年10月にデバイスコードフィッシングを使用し始め、給与文書と共有ファイルを偽造して被害者をルアーしたと述べました。

同社はまた、特にロシアに関連したアクターからの国家支援活動が、パスワードレスフィッシングへのより広範なシフトの一部としてこの技術を採用していることを観測しました。

ロシアに支援されていると疑われるあるグループ UNK_AcademicFlare は、米国とヨーロッパの政府、学術、および輸送部門を対象に、侵害されたメールアカウントと偽造された OneDrive リンクを使用してデバイスコードフィッシングワークフローを配信しました。

Proofpointによると、これらのキャンペーンの拡大は、脅威アクターが正当な認証機能をいかに迅速に悪意のある目的に適応させるかを示しています。

同社は、組織が OAuth コントロールを強化し、信頼できないソースから受け取ったデバイスコードを入力しないようにユーザーを訓練すべきだと述べました。

「Proofpointは、OAuth認証フローの悪用は、FIDO準拠のMFA制御の採用に伴い、引き続き増加すると評価しています。」