サイバーニュース.jp

世界のサイバーなニュースを配信

新手のCoPhish攻撃、Copilot Studioエージェントを悪用しOAuthトークンを窃取

カテゴリ:

はじめに:新たなCoPhish攻撃の脅威

Datadog Security Labsの研究者たちは、Microsoft Copilot Studioエージェントを悪用して、正規かつ信頼されたMicrosoftドメイン経由で不正なOAuth同意要求を配信する新たなフィッシング手法「CoPhish」を発見しました。この技術は、Copilot Studioの柔軟性が、これまで文書化されていなかった新たなフィッシングリスクをもたらすことを警告しています。MicrosoftはBleepingComputerに対し、この報告を調査しており、将来の製品アップデートで根本原因に対処する予定であると確認しました。

Copilot Studioエージェントが悪用される手口

Copilot Studioエージェントは、copilotstudio.microsoft.comでホストされるチャットボットであり、ユーザーは「トピック」(特定のタスクを自動化するワークフロー)を通じてカスタマイズできます。このエージェントは「デモウェブサイト」機能を有効にすることで、Microsoftのドメイン上で共有可能となり、ユーザーが正規のものと誤認しやすくなります。

  • ログイン機能の悪用:チャットボットとの会話開始時にユーザーを認証するログイン機能は、検証コードの要求や、別の場所やサービスへのリダイレクトなど、特定のアクションを実行するように設定できます。
  • 悪意のあるアプリケーションの組み込み:Datadogのシニアセキュリティ研究者であるKatie Knowles氏によると、攻撃者はログインボタンを悪意のあるアプリケーション(ターゲット環境の内部または外部)にカスタマイズでき、環境へのアクセス権がない場合でもアプリケーション管理者を標的にすることが可能です。
  • 特権ユーザーへの影響:Microsoftのデフォルトポリシー変更後も、外部の攻撃者が「外部登録されたアプリケーションでアプリケーション管理者を標的にする」ことは依然として可能であるとKnowles氏は指摘しています。テナントの管理者権限を持つユーザーは、未検証のアプリケーションであっても、要求された権限を承認できてしまうためです。

管理者へのCoPhish攻撃の詳細

CoPhish攻撃は、攻撃者が悪意のあるマルチテナントアプリを作成し、サインイン機能を認証プロバイダーに誘導してセッショントークンを収集するように設定することから始まります。セッショントークンの取得は、Burp CollaboratorのURLへのHTTPリクエストを設定し、「token」ヘッダーでアクセストークン変数を配信することで可能になります。

  • リダイレクトの悪用:被害者がログインボタンをクリックした際のリダイレクトアクションは、任意の悪意のあるURLに設定でき、アプリケーションの同意ワークフローURLはその可能性の一つに過ぎません。
  • 正規ドメインの悪用:攻撃者は、悪意のあるエージェントのデモウェブサイトをアクティブ化した後、電子メールのフィッシングキャンペーンやTeamsメッセージを通じてターゲットに配布します。URLが正規であり、ページの設計もMicrosoftのCopilotサービスのように見えるため、ユーザーは騙されやすくなります。唯一の兆候は「Microsoft Power Platform」アイコンですが、これは見過ごされがちです。

攻撃の仕組みとトークン窃取

管理者が騙されて悪意のあるアプリの権限を承認すると、ボット接続を検証するためにOAuthリダイレクトURL(token.botframework.com)に誘導されます。これはCopilot Studioの認証プロセスにおける標準的な部分であり、正規のドメインを使用しているため、ユーザーは疑念を抱きにくいです。認証プロセスが完了しても、セッショントークンがBurp Collaboratorに転送され、セッションが乗っ取られたことについてユーザーに通知されることはありません。さらに、トークンはMicrosoftのIPアドレスを使用してCopilotから送信されるため、攻撃者への接続はユーザーのウェブトラフィックには表示されません。

対策と推奨事項

Microsoftは、顧客がCoPhish攻撃から身を守るために、以下の対策を推奨しています。

  • 管理権限の制限
  • アプリケーション権限の削減
  • ガバナンスポリシーの施行

Datadogは、セキュリティに関する以下の考慮事項を提示しています。

  • Microsoftのデフォルトのベースライン構成のギャップを埋める強力なアプリケーション同意ポリシーの実装
  • ユーザーによるアプリケーション作成のデフォルト設定の無効化
  • Entra IDおよびCopilot Studioエージェント作成イベントを通じたアプリケーション同意の厳密な監視

元記事: https://www.bleepingcomputer.com/news/security/new-cophish-attack-steals-oauth-tokens-via-copilot-studio-agents/

投稿をさらに読み込む