新たなOAuthフィッシング攻撃「ConsentFix」の概要
2026年1月14日、Push Securityの調査チームは、新たな攻撃手法「ConsentFix」を発見し、阻止しました。この手法は、ClickFixスタイルのソーシャルエンジニアリングとOAuth同意フィッシングを組み合わせ、Microsoftアカウントを乗っ取ることを目的としています。
この攻撃は、攻撃者が悪意のあるペイロードを注入した大規模な侵害されたウェブサイトネットワークを通じて展開され、複数の顧客環境で検出されました。ConsentFixはコミュニティから大きな反響を呼び、Microsoft、Glueck Kanja、その他のセキュリティ研究者が迅速に分析と推奨事項を共有しています。
ConsentFixの仕組み
ConsentFixは、犠牲者にOAuth認証コードをフィッシングページ経由で攻撃者と共有させる攻撃手法です。攻撃者はこのコードを自身のデバイス上のターゲットアプリケーションに入力し、認証ハンドシェイクを完了させてアカウントを乗っ取ります。
この攻撃の特筆すべき点は、OAuthを乗っ取ることで、パスワードやMFAなどのIDレイヤー制御を実質的に回避できる点です。パスキーのようなフィッシング耐性のある認証方法でさえ、認証プロセスを迂回するため、この攻撃には影響しません。
従来のOAuth乱用攻撃(同意フィッシング、デバイスコードフィッシングなど)は、主にプライマリワークスペースアカウント(Microsoft、Googleなど)を詐欺的な攻撃者制御アプリケーションに接続することに焦点を当てていました。しかし、厳格なデフォルト設定により、Azureのようなコアエンタープライズクラウド環境ではこれが困難になっています。それにもかかわらず、2025年のSalesforceへの注目度の高い攻撃では、デバイスコードフィッシングが依然として重要な役割を果たしていました。
ConsentFixの危険性
通常のOAuth攻撃とは異なり、ConsentFixの革新的なアプローチは、攻撃者が通常標的とするものとは異なる種類のアプリケーションを標的とすることを可能にし、検出と対応に大きな影響を与えます。この攻撃では、以下の特徴が見られました。
- 第三者アプリケーションと同じ方法で制限できない、第一当事者のMicrosoftアプリを具体的に標的としていました。これらのアプリはすべてのテナントで事前同意されており、ユーザーは管理者の承認なしに認証できます。
- 検出を回避するために、デフォルトのログ記録の対象外となるレガシーなスコープを活用し、既知の条件付きアクセス(Conditional Access)ポリシー除外があるスコープを標的としました。
これは、悪意のあるOAuth付与をブロックすると予想されるデフォルトの制御が適用されないことを意味します。また、ログが有効になっていない可能性があり、条件付きアクセスの除外によって多くの組織が期待する制御が機能しないケースも発生します。
ConsentFixキャンペーンの経緯
ConsentFixキャンペーンは以下のように展開されました。
- 犠牲者は、URLをフィッシングページに貼り付けて人間であることを確認するよう求められるページを表示されます。
- 「サインイン」ボタンをクリックすると、正規のMicrosoftログインページが開きます。ユーザーがすでにログインしている場合、アカウント情報が事前に入力され、再度認証する必要はありません。
- アカウントを選択すると、OAuth認証コードを含むlocalhost URLにリダイレクトされます。犠牲者はこれを元のフィッシングページに投稿して攻撃を完了します。
- 攻撃者はURLを取得すると、特定のアプリケーション(このケースではAzure CLI)のアクセストークンまたはリフレッシュトークンと交換できます。
要するに、攻撃者はユーザーがAzure CLIにログインする際に発生する認証フローを手動で完了させていますが、このケースでは、犠牲者の情報を使用して攻撃者のデバイスからログインしていることになります。
最新のキャンペーン詳細とコミュニティの貢献
このキャンペーンは、ロシアの国家関連APT29と関連している可能性が指摘されています。これは、Volexityが特定したロシア関連キャンペーンの進化形と見られており、電子メールを介して犠牲者を騙し、Microsoft URLを開かせ、localhostの応答をコピーして電子メールで攻撃者に送り返させる手動バージョンが含まれていました。
コミュニティの反響
- John HammondによるV2.0の公開:数日以内に、John HammondはYouTubeチャンネルでConsentFixの実装の改良版を公開しました。彼は、ポップアップブラウザウィンドウで生成されたMicrosoft認証コードを含むURLをフィッシングページにドラッグアンドドロップできる、よりスムーズな方法を披露し、多くのユーザーが騙されやすいものとなっています。
- Glueck Kanjaによる追加の脆弱な第一当事者アプリの特定:Fabian BaderとDirk-jan Mollemaは、ConsentFixに対して脆弱な幅広い第一当事者アプリに関する優れたリソースを共有しました。これには、Microsoft Azure CLI、Microsoft Azure PowerShell、Microsoft Teams、Visual Studioなど、11のアプリが含まれ、これらはすべて既知の条件付きアクセス除外を持っています。
ConsentFixの今後の予測とセキュリティチームへの推奨事項
セキュリティ研究者によって新たなConsentFixの反復が共有される速度と、悪用可能なアプリおよびスコープの広さから、レッドチームと犯罪者の両方が近い将来、ConsentFixをTTP(戦術、技術、手順)の武器として採用する可能性が高いと予測されています。新たなConsentFixのバリアントが差し迫って出現する可能性が高いでしょう。
したがって、Microsoft環境を保護するすべてのセキュリティチームは、監視制御と緩和策を高優先度で講じる必要があります。
セキュリティチームへの更新された推奨事項
ConsentFixは完全にブラウザネイティブな攻撃手法であるため、従来の多くのセキュリティツールやデータソースは、この攻撃の検出や事前ブロックには限定的です。この攻撃は、デフォルトのMicrosoftセキュリティ設定を悪用して、防止および検出制御の両方を回避します。ブラウザコンテキスト内で発生するConsentFixのような現代の攻撃に対処するためには、組織がブラウザを検出サーフェスとして監視し、悪意のある活動の兆候を検出して、リアルタイムで攻撃をブロックすることが不可欠です。
Microsoftのログ記録を唯一の防御線とする組織のために、コミュニティからの反応に基づいていくつかの新しい推奨事項が追加されました。
- 非推奨のAADGraphActivityLogsのログ記録が有効になっていることを確認してください。
- 上記のアプリケーションID、およびWindows Azure Active Directory(00000002-0000-0000-c000-000000000000)およびMicrosoft Intune Checkin(26a4ae64-5862-427f-a9b0-044e62572a4f)のリソースIDについてログを調査してください。
- 脆弱なアプリごとにサービスプリンシパルを作成し、アクセスを許可されるユーザーを制限して、フィッシングされる可能性のあるユーザーの攻撃対象領域を減らしてください。
- 条件付きアクセス(Conditional Access)ポリシーを介してCLIツールへのアクセスをブロックし、許可されたユーザー/グループには除外を適用してください。
Push Securityは、ブラウザベースの脅威検知制御を用いてブラウザ内での攻撃を検知・ブロックしています。これにより、AiTMフィッシング、資格情報スタッフィング、悪意のあるブラウザ拡張機能、ClickFix、ConsentFix、セッションハイジャックなどの攻撃をリアルタイムで停止できます。