Microsoftは先週月曜日、フィッシングキャンペーンがメールとOAuth URLリダイレクトメカニズムを使用して従来のメールやブラウザで実装されたフィッシング防御を迂回する方法について警告しました。この活動は、攻撃者がユーザーを攻撃者管理下にあるインフラストラクチャにリダイレクトすることを目的としています。

OAuthの機能悪用

Microsoft Defender Security Research Teamによると、OAuthには特定の条件下でユーザーを特定のランディングページにリダイレクトする合法的な機能が含まれています。攻撃者はこのネイティブな機能を利用して、エントラIDやGoogle Workspaceなどの人気のあるアイデンティティプロバイダーを使用したURLを作成し、悪意のあるパラメータや関連アプリケーションを用いてユーザーを攻撃者管理下のランディングページにリダイレクトします。

攻撃の手口

攻撃は、脅威アクターが制御下にあるテナントで作成した悪意のあるアプリケーションから始まります。このアプリケーションには、マルウェアをホストする偽のドメインを指すリダイレクトURLが設定されています。

• 攻撃者はOAuthフィッシングリンクを配布し、受信者に意図的に無効なスコープを使用して悪意のあるアプリケーションに認証するよう指示します。

結果としてユーザーは自分のデバイスにマルウェアをダウンロードおよび感染させることになります。ZIPアーカイブ形式で配布された悪意のあるペイロードは、PowerShellの実行、DLLサイドローディング、事前ランサムまたは手動キーボード操作活動を引き起こします。

攻撃の詳細

ZIPファイルにはWindowsショートカット（LNK）が含まれており、開いた瞬間にPowerShellコマンドが実行されます。このPowerShellペイロードはホストリコンナイザを実行し、発見コマンドを使用してホストの詳細情報を収集します。

• LNKファイルはZIPアーカイブからMSIインストーラーを抽出し、偽装文書を落とす一方で、悪意のあるDLL（
  

  ---

  元記事: https://thehackernews.com/2026/03/microsoft-warns-oauth-redirect-abuse.html