アカウント悪用のアーキテクチャは深刻な変貌を遂げており、攻撃者は従来の転覆手段を避け、正当な認可フレームワークを悪用する方へシフトしている。一見すると、その手続きは無害に見えるが、そこにこそ危機の本質がある。被害者は無自覚のうちに自分の領域への扉を開け、その根底にある詐欺に気づかないままアクセスを許可している。
専門家らは「デバイスコード」を利用した攻撃の急激な増加を記録しており、その増加は1暦年以内に37倍を超えている。この現象は、OAuth 2.0デバイス認可付与を体系的に悪用するもので、このプロトコルは本来、キーボードを持たないまたは入力機能が限定されたスマートテレビ、プリンタ、IoTデバイスなどのデバイスの認証を促進するために考案されたものである。
攻撃の軌跡は驚くほどシンプルである。攻撃者は認可リクエストを開始して独自のコードを取得し、その後これを被害者に様々な口実で、頻繁に電子メールやインスタントメッセージングチャネルを通じて、秘密裏に伝達する。ユーザーがこのコードを正規のログインポータルに入力すると、効果的にアカウントへのアクセスを検証し、攻撃者に有効なトークンとセッションへの絶対的な支配権を与えることになる。
この技術は2020年以来認識されているが、その広範な応用はごく最近になって成熟した。もはや局所的な異常ではなく、この方法は現在、金銭目的のシンジケートと高度に組織化された国家機関の両者によって大規模に使用されている。
Push Securityの先導者は、この脅威の蔓延が「Phishing-as-a-Service」モデルの下で販売される高度なツールキットによって触発されたことを指摘している。最も著名なのはEvilTokensスイートであり、これは参入障壁を大幅に低下させ、初心者レベルの攻撃者にもこのような侵入を可能にしている。同時に、このニッチに対抗するライバルプラットフォームの急速な生態系が出現している。
注目すべきものの中には、VENOM、SHAREFILE、CLURE、LINKID、AUTHOV、およびDOCUPOLLがある。これらのフレームワークの大多数は、Microsoft 365、DocuSign、Adobe、およびTeamsのような企業向けコラボレーションツールを含む一般的なSaaS環境を装っている。その効果を高めるために、これらのプラットフォームはアンチボット検出、詐欺的なランディングページ、およびクラウドベースのインフラストラクチャを採用している。
特定のキットは、署名用のドキュメント送信または人事からの通知など、正当な専門的ワークフローを細心に模倣する。この戦術的な改善は疑惑を緩和し、ユーザーが躊躇なくコードを入力する可能性を高める。
専門家は、その有用性が非本質的である環境でデバイスコード認可の制限を勧告している。さらに、認証ログの厳格な審査—不正な認可試行、異常なIPアドレス、および不規則なセッション動作の監視—は重要な防御措置のままである。このような攻撃の台頭は、侵略者がもはや技術的脆弱性ではなく、ユーザーの信頼の兵器化と現代的なサービスの正当なメカニズムの悪用に基づいていることを示している。
翻訳元: https://meterpreter.org/the-eviltokens-surge-why-device-code-phishing-exploded-37-fold-in-2026/
