概要

セキュリティ研究者らは、北米のプロフェッショナルと企業を標的とした新しいフィッシングキャンペーンについて警告しています。この攻撃は、Microsoft 365アカウントへの非合法で持続的なアクセスを得るため、MicrosoftのOAuth 2.0デバイス認証フローを利用しています。

攻撃の詳細

このキャンペーンは12月から活動を開始し、技術、製造業、金融サービスなどのセクターで特に被害が深刻です。攻撃者は従来の資格情報盗難や多要素認証（MFA）を迂回する方法を使用しています。

攻撃の手順

• 攻撃者はまず、MicrosoftのOAuthプラットフォームに悪意のあるアプリケーションを登録し、一意のデバイスコードを生成します。
• このコードはフィッシングメールに埋め込まれ、ターゲットとなる従業員に送信されます。メールには支払い通知や文書共有のリクエストなどのソーシャルエンジニアリング的手法が使用されています。
• 被害者はリンクをクリックし、攻撃者が制御するフェイクページに誘導されます。ここでユーザーはメールアドレスを入力し、「セキュア認証」の指示を受けます。
• ユーザーはMicrosoft公式サイト（microsoft.com/devicelogin）で「デバイスコード」を入力し、通常の認証プロセスを完了します。これによりOAuthトークンが発行され、攻撃者がアプリケーションに完全なアクセス権を得ます。

脅威の持続性

このキャンペーンは、リフレッシュトークンを使用して長期的なバックドアを維持する能力を持っています。これにより、パスワードリセットやMFA設定変更後も被害者のMicrosoft 365アカウントへのアクセスが可能となります。

対策

• 組織は最近同意したOAuthアプリケーションを審査し、ユーザーが明示的に承認していない不審なアプリを探す必要があります。
• ITチームはメールゲートウェイやログで送信者のパターンや偽の支払い通知などの件名を探します。
• セキュリティ専門家はOAuthベースのフィッシングに対する従業員教育を行い、予期しないログイン要求には注意を払うよう促すことが重要です。

元記事: https://gbhackers.com/microsoft-365-to-steal-oauth-tokens/