概要
Datadogのセキュリティ研究者たちは、Microsoft Copilot Studioを悪用してOAuthトークン窃盗攻撃を行う、「CoPhish」と呼ばれる巧妙なフィッシング技術を発見しました。この攻撃手法は、正規のMicrosoftドメイン(copilotstudio.microsoft.com)の信頼性を悪用し、ユーザーを騙して悪意のあるアプリケーションに同意させます。
Copilot Studioは、カスタマイズ可能なチャットボット「エージェント」を作成し、設定可能な「トピック」を通じて自動タスクを実行できる柔軟性を提供します。しかし、この柔軟性がセキュリティ上の脆弱性となり、攻撃者は悪意のあるエージェントを作成できます。組み込みの「ログイン」ボタンは、OAuthフィッシングページを含む任意のURLにユーザーをリダイレクトさせることが可能です。ユーザーが悪意のあるアプリケーションに同意すると、Copilot Studioは結果として得られるOAuthトークンを攻撃者が制御するサーバーに自動的に流出させることができます。
脆弱なシナリオ
MicrosoftはOAuth同意攻撃に対するいくつかの保護策を導入していますが、2つの重要なシナリオが依然としてユーザーを脆弱なままにしています。2025年7月には、SharePointやOneDriveアクセスのような高リスクな権限への同意を防ぐ新しいデフォルトのアプリケーション同意ポリシーが導入されました。しかし、メール、チャット、カレンダー、OneNoteに関する権限は依然として同意可能です。
- シナリオ1:特権を持たない内部ユーザー
Entra IDテナントへの既存のアクセス権を持つ攻撃者は、Mail.ReadWrite、Mail.Send、Notes.ReadWriteなどの権限を要求する悪意のある内部アプリケーションを作成できます。これらの権限はMicrosoftのデフォルトポリシーで現在許可されています。デフォルトでは、すべてのEntra IDメンバーユーザーが新しいアプリケーションを登録できるため、攻撃者はこれらの悪意のあるアプリを作成することが可能です。
- シナリオ2:アプリケーション管理者およびクラウドアプリケーション管理者
これらの特権ユーザーは、あらゆるアプリケーションに対して任意のMicrosoft Graph権限に同意できるため、高価値の標的となります。彼らは組織に代わって定期的にアプリケーションを承認します。
攻撃の仕組み
標的ユーザーが悪意のあるCopilot Studioエージェントのリンクにアクセスすると、正規のMicrosoft Copilotサービスに似たインターフェースが表示されます。「ログイン」ボタンをクリックすると、OAuth同意画面にリダイレクトされます。同意し、Bot Connection Validationサービスを通じて認証を完了すると、エージェントはユーザーのアクセストークンを受け取ります。
攻撃者は、エージェントのシステムサインイントピックをバックドア化し、盗まれたトークンを外部サーバーに自動的に転送するHTTPリクエストアクションを追加します。この流出はMicrosoftのインフラストラクチャからサーバー側で行われるため、ユーザーのウェブトラフィックには痕跡が残りません。攻撃者はその後、ユーザーのメールにアクセスしたり、メッセージを送信したり、機密データを抽出したりすることができます。研究者たちは、盗まれたトークンをデコードすることで、攻撃者がユーザーが同意したすべての権限にアクセスし、被害者に代わって悪意のある行動を実行できることを実証しました。
セキュリティ推奨事項
組織は、Microsoftのデフォルトを超えるより強力なアプリケーション同意ポリシーを実装すべきです。Microsoftは2025年10月下旬にデフォルトポリシーを更新する予定ですが、管理者は今すぐカスタムポリシーを積極的に構成する必要があります。
追加の保護措置には、すべてのユーザーが新しいアプリケーションを作成できるデフォルト設定の無効化や、不審な同意活動についてEntra ID監査ログを監視することが含まれます。セキュリティチームは、システムサインイントピックが変更されたBotCreateおよびBotComponentUpdate操作に注意を払う必要があります。この攻撃は、信頼されたMicrosoftドメインでホストされているサービスでさえ悪用される可能性があることを示しており、特にユーザーがカスタマイズ可能なコンテンツを許可する新しいクラウドサービスを慎重に扱うことの重要性を強調しています。