自動化と動的コード生成により標準的な15分の有効期限をバイパスし、OAuth デバイスコード認証フローを活用して組織アカウントを大規模に侵害するフィッシングキャンペーンが、Microsoft Defender Security Research チームによって観察されました。このキャンペーンはAI支援インフラとエンドツーエンド自動化を使用しています。
攻撃概要
デバイスコード認証は、標準的なインタラクティブログインをサポートできないデバイス向けに設計された正当なOAuthフローです。このモデルでは、コードが1つのデバイスに表示され、ユーザーは別のデバイスのブラウザにコードを入力して認証を完了するよう指示されます。
攻撃者はこのフローを悪用してMFAをバイパスし、認証を元のセッションから分離します。ユーザーがコードを入力すると、気づかないうちに攻撃者のセッションを認可し、認証情報を公開することなくアカウントへのアクセスを付与します。
攻撃フロー
偵察フェーズはフィッシング試行が開始される10~15日前に始まり、脅威アクターは対象のメールアカウントがテナント内に存在し、アクティブであることを確認します。キャンペーンは電子メールゲートウェイとエンドポイントセキュリティをバイパスするマルチステージ配信パイプラインを使用しています。攻撃はユーザーが悪意のあるURLまたは添付ファイルと相互作用する時に開始されます。
コードがブラウザからユーザーのクリップボードにコピーされたキャンペーンのスクリーンショット(出典:Microsoft)
脅威アクターは侵害された正当なドメインとサーバーレスプラットフォームを使用して、自動化されたURLスキャナーとサンドボックスを回避します。認証情報盗取インターフェースは、Webページ内で正当なブラウザウィンドウをシミュレートするブラウザ内ブラウザ技術としてホストされるか、ぼやけたビューでWebホストされたドキュメントプレビュー内に表示されます。「本人確認」ボタンとデバイスコードが表示されます。
キャンペーンはドキュメントアクセスリクエスト、電子署名プロンプト、ボイスメール通知などのルアーを使用しています。ユーザーは悪意のあるデバイスコードの生成を容易にするためにメールアドレスの入力を求められることもあります。ページは隠された自動化で事前読み込みされています。評判ベースのフィルターをバイパスするため、脅威アクターはドメインシャドウイングとブランド偽装サブドメインの組み合わせを使用します。
脅威アクターはユーザーをリンクとの相互作用を促すため、さまざまなペイロードを含む欺瞞的なメールを配布します。そのリンクは正当に見えるが脅威アクター管理のインターフェースにリダイレクトされます。
ユーザーがリンクをクリックすると、Microsoft ID プラットフォームと相互作用して動的デバイスコードを生成するバックグラウンド自動化スクリプトを実行するウェブページにリダイレクトされます。コードはユーザーの画面に表示され、公式ログインポータルにリダイレクトするボタンが付きます。
脅威アクターのスクリプトは、生成されたデバイスコードを自動的にクリップボードにコピーする場合があり、ユーザーはそれを公式ログインページに貼り付けます。アクティブなセッションがない場合、ユーザーは認証情報を提供して多要素認証を完了するよう求められます。セッションが既にアクティブな場合、コードを貼り付けてリクエストを確認すると、バックグラウンドで脅威アクターのセッションが認証されます。
正当なログインURLが開かれた後、スクリプトはポーリング状態に入り、認証プロセスをリアルタイムで監視します。ユーザーが認証を完了したかどうかを繰り返しチェックします。MFAでサポートされたログインが完了すると、次のポーリングは成功ステータスを返し、脅威アクターはユーザーのアカウントに関連付けられた有効なアクセストークンを取得します。
侵害後の活動
「最終段階は脅威アクターの特定の目的によって異なります。いくつかのケースでは、侵害後10分以内に脅威アクターが新しいデバイスを登録して、長期的な永続性のためのプライマリリフレッシュトークン(PRT)を生成しています。他のシナリオでは、即座の検出を避けるため、悪意のあるインボックスルールを作成するか、機密メールデータを流出させる前に数時間待機していました」と、Microsoft Defender Security Research Team は説明しました。
侵害後、アクティビティはデバイス登録とMicrosoft Graph偵察に進行し、侵害されたユーザーのフィルタリングとターゲットの選択を含みます。
翻訳元: https://www.helpnetsecurity.com/2026/04/07/microsoft-device-code-phishing-campaign/
