新しいフィッシング攻撃の手口

Microsoftアカウントの所有者を狙った新たなフィッシングキャンペーンが確認されました。この攻撃は、OAuth認証プロンプトを巧妙に悪用するものです。攻撃者は、ユーザーに直接パスワードを要求するのではなく、正規に見えるMicrosoftの認証画面を通じて、悪意のあるアプリケーションに権限を付与させるよう仕向けます。この手口は、従来のパスワード保護や多要素認証を回避するため、標的となるユーザーや組織にとって特に危険です。

攻撃の詳細

セキュリティ研究者たちは、このような巧妙な攻撃の増加を報告しています。被害者は、偽装された、または侵害されたOAuth同意画面に誘導するリンクを含むフィッシングメールを受け取ります。最近のフィッシングキャンペーンでは、主要なビジネスプラットフォームや投資プラットフォームを装い、ユーザーにコードの入力やアクセス承認を促し、密かにアカウントの制御を奪います。

ユーザーが権限付与をクリックすると、攻撃者は正規のアクセストークンを取得し、実際のパスワードを知ることなくMicrosoftアカウントを完全に制御できるようになります。フィッシングメールは通常、信頼できる送信元を装い、緊急性を煽る言葉でクリックを促します。ユーザーがリンクをクリックすると、完全に本物に見えるMicrosoftのログインページが表示されます。資格情報を入力した後、アプリケーションへのアクセス許可を求める標準的なOAuthプロンプトが表示されます。このプロンプトは、本物のMicrosoftブランドを使用し、ユーザーがこれまで何度も見てきた通常の認証プロセスに従っているため、正当に見えてしまいます。

なぜ効果的なのか

この攻撃が特に効果的なのは、ユーザーがすでにこれらの許可画面に慣れているためです。Microsoftアカウントでサードパーティ製アプリを使用するたびに、同様のプロンプトが表示されます。攻撃者はこの慣れと信頼を悪用します。被害者が許可を与えると、攻撃者のアプリケーションはアカウントへの完全なアクセスを提供するOAuthトークンを受け取ります。これらのトークンは、ユーザーがパスワードを変更したり、追加のセキュリティ対策を有効にしたりしても有効なままです。

従来のフィッシング攻撃ではパスワードの入力を求めますが、多くの組織では現在、多要素認証で保護しています。しかし、この新しいアプローチは、それらの保護を完全に回避してしまいます。

攻撃の影響

OAuthトークンは、攻撃者にMicrosoftアカウントに保存されているメール、ファイル、連絡先、カレンダー情報への直接アクセスを許可します。ビジネスユーザーにとっては、機密性の高い企業データ、機密通信、顧客情報へのアクセスにつながる可能性があります。攻撃者は侵害されたアカウントを足がかりとして、企業ネットワーク内で横方向に拡散できるため、組織は特に高いリスクに直面します。彼らは信頼できる同僚からのように見えるメールを送信したり、悪意のあるファイルを共有したり、内部システムやプロセスに関する情報を収集したりすることができます。

対策と推奨事項

ユーザーは、予期しないメールに含まれる認証画面へのリンクを決してクリックすべきではありません。代わりに、ブラウザから直接Microsoftアカウント設定を開くようにしてください。アプリケーションが不審なアクセスレベルを要求している場合は、許可要求を注意深く確認し、拒否してください。

組織は、Microsoft環境全体で異常なOAuthトークンの使用や不審なアプリケーションの権限を監視するセキュリティツールを導入する必要があります。Microsoftアカウントの所有者は、異常なサインイン場所やデバイスの使用パターンを検出する条件付きアクセスポリシーを含む、利用可能なすべてのセキュリティ機能を有効にすべきです。

セキュリティ意識向上トレーニングでは、OAuthフィッシングの手法に特化して取り組むべきであり、従業員が許可プロンプトを直接のパスワード要求と同じくらい厳しく精査する必要があることを理解させる必要があります。

---

元記事: https://gbhackers.com/new-phishing-wave-oauth-prompts-to-microsoft-accounts/