「文書に署名する」または「アカウントを認証する」ことを促す電子メッセージは、必ずしも偽造されたドメインに導くわけではなく、むしろ完全に正規のMicrosoftまたはGoogleアドレスに導く可能性があります。まさにこの深い信頼こそが、詐欺師がOAuthプロトコルのリダイレクトメカニズムを巧みに操作して、フィッシングキャンペーンを組織し、マルウェアの悪質な配信を行うために、容赦なく悪用してきたものです。
Microsoftのセキュリティ専門家は、政府機関と公共部門機関を標的とした組織的なキャンペーンを傍受しました。これらの攻撃は、認証サービスがログイン失敗などの特定の条件下でユーザーを指定されたアドレスにリダイレクトすることを可能にするOAuthの標準的で本質的な機能を中心に設計されていました。攻撃者はユーザーアカウントに侵入したり、アクセストークンを窃取したりしませんでした。代わりに、彼らはプロトコルの正規で規則ベースの動作を兵器化して、自分たちの邪悪な目的のために使用しました。詳細についてはMicrosoftを参照してください。
戦略は、攻撃者のインフラストラクチャ内に置かれた悪質なアプリケーションの製造から始まりました。その構成内で、リダイレクトアドレスは支配下のドメインにルーティングされ、フィッシングポータルまたは悪質なペイロードのリポジトリとして機能しました。その後、被害者は、Microsoft Entra IDまたはGoogleアカウント経由でサインインするプロンプトなどのルーチンの認証リクエストになりすましたリンクを含むメールを受け取りました。
誤ったパラメータが意図的にリンクに組み込まれました。たとえば、架空のアクセススコープが「サイレント」インターフェースモードと組み合わされていました。この正確な組み合わせは、認証エラーを引き起こすことが保証されていました。OAuthの原則によれば、認証サービスはエラー記述子を伴って、ブラウザを事前に決められたアドレスにリダイレクトするよう強制されます。その結果、ユーザーは最初は清潔で正規のMicrosoftまたはGoogleドメインを見ましたが、その後はシームレスかつ自動的に攻撃者の罠に陥れられました。
欺瞞的なメッセージは、デジタル署名、レビュー待ちの文書、人事部からのメッセージ、Teamsミーティング招待、パスワードリセット、または社会保障給付に関するアラートなどの普遍的なテーマを採用していました。時折、危険なリンクはPDF添付ファイル内に隠され、メール本文はテキストが全くありませんでした。いくつかの例では、被害者のメールアドレスはstateパラメータを経由して送信され、基本的な文字列、16進形式、またはBase64を通じてエンコードされ、その後フィッシングページに自動的に入力されて、正当性の幻想を人為的に膨らませていました。
リダイレクト後、これらのキャンペーンの一部は、被害者をEvilProxyなどの典型的なフィッシングパネルに流していました。これらのパネルは認証情報とセッショントークンを巧みに傍受しました。異なるシナリオでは、攻撃はホストデバイスの直接感染にエスカレートしました。ユーザーは/download/XXXXのような終端にリダイレクトされ、ZIPアーカイブの自動ダウンロードが引き起こされました。
このアーカイブ内には、LNKショートカットと補助ファイルが含まれていました。実行時に、ショートカットはPowerShellを呼び出し、ipconfigやtasklistなどのコマンドを通じてシステムテレメトリを収集していました。その後、steam_monitor.exe実行ファイルとcrashhandler.dllライブラリを細心の注意を払って解凍しました。正規の実行ファイルがその後起動され、洗練されたDLLサイドローディング戦略を通じて有害なライブラリをひそかにロードしていました。このライブラリはその後、補助コンポーネントを復号化し、コマンド&コントロールサーバーとの接続を確立し、攻撃者がシステム内に定着し、手動での直接的な制御に移行することを可能にしました。
Microsoftは、Microsoft Defenderの防御システムがメール転送、ユーザーアカウント、エンドポイントデバイスのレイヤー全体で、この異常なアクティビティを正常に傍受したことを開示しました。Entra ID内で特定された悪質なOAuthアプリケーションは迅速に中和されました。しかし、並行する活動は頑固に継続しています。その結果、企業は管理者に、アプリケーション同意付与に関する警戒態勢を保つこと、アクセス権限を定期的に監査すること、そして休眠またはスーパーフローな統合を容赦なく削除することを強く勧めています。
これらの攻撃の根本には、基本的なソフトウェア脆弱性ではなく、RFC 6749およびそれに続くコーディックスで規定されているOAuth標準の本質的な特異性があります。プロトコルは認証失敗の際のリダイレクトを明示的に許可しています。詐欺師は意図的にこのようなエラーを組織化し、モノリシック認証プロバイダーのドメインに与えられた固有の信頼を兵器化して、防御フィルタをシームレスに回避し、ユーザーを悪質な飛び地に導いています。認証情報の盗難と多要素認証回避に対する強化された防御の背景に対して、サイバー攻撃はますます信頼のメカニズムとプロトコル自体の基本的な振る舞いを悪用することにピボットしています。
