Microsoft 365アカウント、OAuthフィッシングの新たな脅威に直面
複数の攻撃グループが、Microsoft 365アカウントを狙ったフィッシング攻撃を活発化させています。この攻撃は、OAuthデバイスコード認証メカニズムを悪用するもので、被害者は正規のMicrosoftログインページでデバイスコードを入力させられ、攻撃者が制御するアプリケーションにアクセス権を与えてしまいます。これにより、パスワードを盗むことも多要素認証(MFA)を迂回することもなく、アカウントへのアクセスが可能になります。
巧妙な手口:デバイスコードフィッシングの詳細
Proofpoint社によると、この種の攻撃は目新しいものではないものの、2025年9月以降、その件数が著しく増加しています。攻撃には、金銭を目的とするサイバー犯罪グループTA2723や、国家と連携する可能性のある攻撃者も関与しているとのことです。
攻撃チェーンは若干のバリエーションがあるものの、被害者を欺いてMicrosoftの正規のデバイスログインポータルでデバイスコードを入力させるという点で共通しています。デバイスコードは、ワンタイムパスワードとして提示されたり、トークンの再承認通知として用いられたりします。
攻撃に利用されるツールと主要キャンペーン
リサーチャーは、攻撃に以下の2つのフィッシングキットが使用されていることを確認しています。
- SquarePhish v1/v2: 公開されているレッドチーミングツールで、QRコードを介したOAuthデバイス認証フローを標的とし、正規のMicrosoft MFA/TOTP設定を模倣します。
- Graphish: アンダーグラウンドフォーラムで共有されている悪質なフィッシングキットで、OAuth悪用、Azure App Registrations、中間者攻撃(AiTM)をサポートします。
Proofpointが観測した主要なキャンペーンは以下の通りです。
- 給与ボーナス攻撃: 文書共有を装い、企業のブランドを模倣して被害者を攻撃者制御のウェブサイトに誘導します。被害者は「安全な認証」のために提供されたコードをMicrosoftのログインページに入力させられ、攻撃者制御アプリケーションを承認してしまいます。
- TA2723の攻撃: 以前からMicrosoft OneDrive、LinkedIn、DocuSignを詐称する大量のフィッシングキャンペーンで知られるグループが、2025年10月からOAuthデバイスコードフィッシングを使用し始めました。初期にはSquarePhish2、後にGraphishを使用しているとみられます。
- 国家連携活動: 2025年9月以降、ロシアと連携が疑われる脅威アクターUNK_AcademicFlareが、アカウント乗っ取りのためにOAuthデバイスコード認証を悪用しています。このアクターは、侵害した政府や軍のメールアカウントを使用して信頼関係を築き、OneDriveを詐称するリンクを共有して被害者をデバイスコードフィッシングのワークフローに誘導します。主な標的は、米国およびヨーロッパの政府機関、学術機関、シンクタンク、運輸セクターです。
組織が講じるべき対策
これらの攻撃を阻止するために、Proofpointは以下の対策を推奨しています。
- 可能な限りMicrosoft Entra Conditional Accessの利用。
- サインインのオリジンに関するポリシー導入の検討。