M365ユーザーを狙うデバイスコードフィッシング攻撃が急増
複数の脅威グループが、ユーザーを騙してMicrosoft 365アカウントへのアクセス権を付与させるデバイスコードフィッシングと呼ばれる手法を用いた攻撃を強化しています。Proofpointが発表した報告書によると、この手口は近年、中国やロシアと関連するハッカーグループ、および多数の犯罪グループによって利用されています。
Proofpointの脅威研究員であるSarah Sabotka氏は、「これは、認可されたアクセスに対する正当かつ信頼されたワークフローを悪用するソーシャルエンジニアリングの手法です」と述べています。
デバイスコードフィッシングの手口とは?
この攻撃は、ハイパーリンクされたテキストやQRコード内に埋め込まれたURLを含むメッセージを送信することから始まります。ユーザーがリンクをクリックすると、正規のMicrosoftデバイス認証プロセスを悪用する攻撃シーケンスが開始されます。
- 攻撃プロセスが始まると、ユーザーにはデバイスコードが提示されます。
- このコードはランディングページ、または二次的なメールで送信されます。
- ユーザーはデバイスコードをワンタイムパスワードとして入力するよう指示されます。
- コードが入力され、トークンが検証されると、ハッカーはM365アカウントへのアクセス権を獲得します。
攻撃者と使用されるツール
攻撃者は、SquarePhish2やGraphishなどのフィッシングキットを使用しています。特にGraphishフィッシングキットは、Azureアプリ登録とアドバーサリー・イン・ザ・ミドル攻撃で使用されるリバースプロキシ設定を活用し、非常に説得力のあるフィッシングページを作成することを可能にします。
サイバーセキュリティ企業は、TA2723という名称で追跡されている犯罪者が、このような攻撃に使用できる悪意のあるツールをハッキングフォーラムで販売していると警告しています。研究者たちは、10月初旬にTA2723がSquarePhish2を展開したキャンペーン、およびGraphishを使用した別のキャンペーンを確認しました。
具体的な攻撃キャンペーンの事例
ロシアと関連するUNK_AcademicFlareというグループは、9月に初めて特定されたキャンペーンに関連しています。これらの攻撃は、複数の政府機関や軍事組織から漏洩したメールを利用し、米国およびヨーロッパの政府、シンクタンク、高等教育機関、運輸部門を標的としています。
Microsoftの対応
Microsoftは、このProofpointの調査に対して直接のコメントはしていませんが、同社は以前の調査報告書へのリンクを提供しました。その報告書(2024年2月)では、ロシアと関連するStorm-2372グループによるデバイスコードフィッシングキャンペーンについて概説されています。このグループは2024年8月から様々な手法で同様の攻撃に従事しています。また、Microsoftは10月にMicrosoft Teamsに対する脅威に関するガイダンスも公開しています。