マイクロソフトのデバイスコードフィッシング攻撃で毎日数百の組織が侵害される

数百の組織が、ほぼ攻撃チェーンのあらゆる段階でAIと自動化を使用するマイクロソフトのデバイスコードフィッシングキャンペーンによって、毎日侵害されています。最終的には企業のメールボックスを盗聴し、財務データを盗むことを目的としています。

「2026年3月15日以来、我々は24時間ごとに10～15の異なるキャンペーンが立ち上がるのを観察しています」と、マイクロソフトのセキュリティ研究副社長タンメイ・ガナチャリア氏はThe Registerに語った。 

「各キャンペーンは大規模に配布され、非常に多様でユニークなペイロードで数百の組織を標的としており、パターンベースの検出をより困難にしています」とガナチャリア氏は述べた。「我々は継続して高ボリュームの活動を観察しており、影響を受けた環境全体で毎日数百の侵害が発生しています。」

攻撃者はすべてのセクターと世界中の組織を標的としていると同氏は語った。フィッシングキャンペーンは特定の組織に帰属していないが、そのツールとインフラはEvilTokensと似た特性を持っています。 

EvilTokensは、2月中旬からサービスとして販売されている新しいマイクロソフトのデバイスコードフィッシングキットで、購入者が多要素認証（MFA）をバイパスし、被害者として組織のマイクロソフト365アプリケーションに無音で認証できるようにしています。その運営者は、近いうちにGmailとOktaのフィッシングページへのサポートを拡張することを約束しています。

キャンペーンはすべての業界の広い範囲の組織を標的としているように見えますが、「侵害後の活動は、財務関連の人物に一貫した焦点を示しており、それらのアカウントで自動化されたメール流出が観察されています」とガナチャリア氏は述べた。

Redmondの研究者は月曜日のブログで装置コード攻撃の詳細を説明し、述べたところでは、それは「脅威アクターの精巧さの大きなエスカレーションを示唆しています」とのことです。 

デバイスコード認証

スマートテレビ、プリンタ、その他の標準的なインタラクティブログインをサポートしないIoTデバイスなどのデバイスは、通常OAuth 2.0のデバイスコード認証を使用します。これはデバイスに短いコードを提供し、認証プロセスを完了するために別のデバイスのブラウザでそのコードを入力するよう指示します。これによりユーザーは簡単にサインインできますが、セキュリティのトレードオフが伴います。 

「認証は別のデバイスで完了するため、リクエストを開始するセッションはユーザーの元のコンテキストに強くバインドされていません」とマイクロソフトは警告しています。

これにより、多要素認証（MFA）をバイパスし、デバイスコード認証プロセスを開始することでユーザーのアカウントを乗っ取ろうとする攻撃者にとって非常に魅力的になります。例えば、フィッシング誘いを通じてコードを送信し、ユーザーがコードを入力して知らないうちに攻撃者のアカウントへのアクセスを承認するのを待つことです。

攻撃チェーン

このキャンペーンでは、悪者たちはGetCredentialTypeをクエリします。これはユーザーの認証方法を確認するために使用されるマイクロソフトAPIエンドポイントで、攻撃者が対象のメールアドレスがテナント内に存在し、アクティブであるかどうかを確認することができます。 

この偵察フェーズは重要な前提条件であり、通常は実際のフィッシング試みが開始される10～15日前に発生します。

攻撃者はAIを使用して、提案書のリクエスト、請求書、製造ワークフローなどのテーマで対象者の役割に合わせた超パーソナライズされたフィッシングメールを作成しました。これらのメールには悪意あるファイルまたは直接URLが含まれていますが、フィッシャーは初期メールで最終的なフィッシングウェブサイトにリンクしていません。  

代わりに、Railway、Cloudflare Workers、DigitalOcean、AWS Lambdaを含む信頼されたサーバーレスプラットフォーム上の侵害された正当なドメインを使用して、一連のリダイレクトを自動化しました。これにより、フィッシングメールは自動URLスキャナーおよびサンドボックスによる検出を回避し、正当なエンタープライズクラウドトラフィックに混在することができます。

最終的なフィッシングページ（これが攻撃者が最終的に被害者の認証情報を盗む場所です）は、ウェブページ内の正当なブラウザウィンドウのように見えます。ボタンを通じてアイデンティティを確認するようユーザーに促し、「Microsoft.com/devicelogin」にリダイレクトされ、デバイスコードが表示されます。 

動的デバイスコード

Redmondによると、「このキャンペーンの成功の中心的な要素」は、デジタル侵入者が静的なフィッシング試みではなく、動的デバイスコード生成を使用していることです。

これらのデバイスコードは15分間のみ有効なため、元のフィッシングメールで事前に生成されたコードを使用すると、対象ユーザーがフィッシングされ、メールを開き、さまざまなリダイレクトをクリックし、最終的に攻撃者がMFAをバイパスしてユーザーのアカウントを乗っ取るのを支援する時間フレームが大幅に短縮されます。

一方、このキャンペーンはコード生成部分をリダイレクトチェーンの最終段階に移動させます。つまり、被害者が最終的なフィッシングページに到達するまで15分間の制限時間は開始されません。被害者がデバイスコードを見た後に何が起こるかは以下の通りです：

ユーザーがログインプロセスを完了すると、ライブアクセストークンが攻撃者が管理するコンピュータに送信されます。これにより、データ泥棒はMFAをバイパスして対象アカウントにログインすることができます。

Redmondによると、侵害後の不正な活動は攻撃者の特定の目的に依存します。場合によっては、侵入者は長期的な持続性のためのプライマリリフレッシュトークン（PRT）を生成するために10分以内に新しいデバイスを登録しました。他の場合には、機密メールデータを盗むか、受信箱ルールを作成する前に数時間待ちました。例えば、「給与」または「請求書」が件名に含まれるメッセージなどの機密メッセージを転送することです。

このタイプのデバイスアカウントフィッシング攻撃の被害を避けるには、絶対に必要な場合のみデバイスコードフローを許可してください。マイクロソフトは可能な限りブロックすることを推奨しています。 

また、「[外部]」メッセージに含まれる疑わしいリンクなど、一般的なフィッシング技術を検出する方法について従業員を訓練してください。「2021年現在、マイクロソフトAzureのやり取りはユーザーに、彼らが期待するアプリにサインインしているかどうかを確認する（「キャンセル」または「続行」）ようにメッセージを表示します。これはフィッシングサインインから頻繁に欠落しているオプションです」とRedmondは述べています。®