EvilTokensは、OAuthデバイスコードフローを悪用することでMicrosoftアカウントの乗っ取りを実現するPhishing-as-a-Service (PhaaS) プラットフォームです。このプラットフォームは、2026年2月中旬からアクティブに使用されており、既存のクレデンシャルフィッシングとは異なる手法で機能します。
EvilTokensの特徴
EvilTokensは、単なるトークン窃取だけでなく、アクセス「武器化」、メール収集、偵察、組み込みウェブメールインターフェース、AI駆動の自動化を含む機能を提供します。これにより、ビジネスメール詐欺(BEC)ワークフローが効率化されます。
悪意のあるデバイスコードフィッシング
EvilTokensは、OAuth 2.0デバイス認証フローを悪用してMicrosoftアカウントへのアクセスを得ます。この手法では、攻撃者はデバイスコードリクエストを開始し、被害者が攻撃者のユーザーIDを入力するように誘導します。
攻撃の仕組み
- デバイスコードフィッシング: 攻撃者はデバイスコードリクエストを行い、被害者が攻撃者のユーザーIDを入力するように誘導します。
- 認証情報の窃取: 被害者が2段階認証(MFA)を完了すると、攻撃者は静かにトークンエンドポイントをポーリングし、有効なアクセスとリフレッシュトークンを収集します。
- 即時アクセス: ショートラブドアクセストークンは通常1時間程度有効で、攻撃者はメールやファイル、Teamsデータへの読み取りアクセスを得ることができます。
フィッシングページの構造と機能
EvilTokensは、アドビ・アクロバット・サイン、DocuSign、OneDrive、SharePointなどのサービスを模倣した自ホスト型フィッシングテンプレートを提供します。これらのページには、検証コードやステップバイステップの指示が表示され、「Microsoftに続ける」ボタンがあります。
インフラと展開
Sekoiaは、EvilTokensが既に広範なフィッシングキャンペーンで使用されていることを確認しています。これらのキャンペーンでは、PDFやHTMLなどのさまざまな形式の添付ファイルが利用され、金融部門や人事部門を主な標的としています。
防御策
EvilTokensのページは、特定のHTTPヘッダーを使用するため、ネットワークレベルでの検出と分析が可能です。また、SekoiaはYARAルールを公開し、AES-GCM暗号化ロジックを持つフィッシングHTMLを検出します。
結論
Sekoiaは、EvilTokensの迅速な採用と自動化機能により、従来のユーザー名パスワードフィッシング制御をバイパスする能力があるため、今後大きな競争力を持つと考えています。