はじめに:新しい ConsentFix 攻撃が Microsoft アカウントを標的に
新しい「ConsentFix」攻撃が発見されました。これは「ClickFix」攻撃の亜種であり、Azure CLI の OAuth アプリを悪用することで、ユーザーのパスワードや多要素認証 (MFA) を迂回し、Microsoft アカウントを乗っ取ることが可能になります。
ClickFix 攻撃とは、ユーザーを騙してコマンドを実行させ、マルウェアをインストールしたりデータを盗んだりするソーシャルエンジニアリングの手法です。多くの場合、エラーを修正すると見せかけたり、人間であることを証明させたりする偽の指示が使われます。
サイバーセキュリティ企業 Push Security が発見したこの ConsentFix 攻撃は、ユーザーが知らず知らずのうちに、攻撃者が自身の Microsoft アカウントへの完全なアクセス権を得ることを許してしまう危険なものです。
ConsentFix 攻撃の仕組み
ConsentFix 攻撃の核心は、Azure CLI の OAuth フローの悪用です。Azure CLI は、Microsoft が提供するコマンドラインアプリケーションで、OAuth 認証フローを通じてユーザーがローカルマシンから Azure や Microsoft 365 のリソースを管理できるようにします。
攻撃者は、この OAuth 2.0 認証コードを盗み出すことで、Azure CLI のアクセス トークンを取得します。これにより、ユーザーのパスワードを知ることなく、また多要素認証を突破することなく、対象の Microsoft アカウントへの完全なアクセス権を手に入れます。
攻撃の具体的な手口
ConsentFix 攻撃は、まず被害者が、特定の検索キーワードで Google 検索上位に表示される、改ざんされた正規のウェブサイトにアクセスすることから始まります。その後の手順は以下の通りです。
- ウェブサイト訪問者には、偽の Cloudflare Turnstile CAPTCHA ウィジェットが表示され、有効なビジネスメールアドレスの入力を求められます。攻撃者のスクリプトは、このアドレスが標的リストに含まれているかを確認し、ボットやアナリストなどを排除します。
- チェックを通過したユーザーには、ClickFix と同様のやり方で、人間であることを証明するための指示が表示されます。その指示は、ページ上の「サインイン」ボタンをクリックするというもので、これにより正規の Microsoft URL が新しいタブで開かれます。
- しかし、これは通常の Microsoft ログインプロンプトではなく、Azure CLI の OAuth アクセスコードを生成するために使われる Azure ログインページです。
- ユーザーがすでに Microsoft アカウントにログインしている場合、アカウントを選択するだけで済みます。ログインしていない場合は、Microsoft の正規のログインページで通常通り認証を行います。
- 認証後、Microsoft はユーザーをローカルホストのページにリダイレクトします。このとき、ブラウザのアドレスバーには、ユーザーのアカウントに紐づけられた Azure CLI の OAuth 認証コードを含む URL が表示されます。
- フィッシングプロセスは、ユーザーが提供された指示に従ってこの URL を悪意のあるページに貼り付けることで完了し、攻撃者は Azure CLI OAuth アプリを通じて Microsoft アカウントへのアクセス権を獲得します。
Push Security は、「これらの手順が完了すると、被害者は事実上、攻撃者に Azure CLI 経由で Microsoft アカウントへのアクセス権を与えてしまいます」と説明しています。「この時点で、攻撃者はユーザーのパスワードをフィッシングしたり、MFA チェックを通過したりすることなく、対象の Microsoft アカウントを実質的に制御下に置くことができます。」
被害と対策
この攻撃により、攻撃者はユーザーの Microsoft アカウントを完全に制御できる状態になります。ユーザーがすでに Microsoft アカウントにログインしていた場合、ログインプロセス自体が不要となるため、非常に高い成功率を持ちます。
Push Security によると、この攻撃は被害者の IP アドレスごとに一度しかトリガーされません。
防御策として、研究者たちは、不審な Azure CLI ログイン活動、特に新しい IP アドレスからのログインに注意を払うことを推奨しています。また、攻撃者が検出を回避するために意図的に悪用する「レガシー Graph スコープ」の監視も重要です。組織は、従来の IAM (Identity and Access Management) の慣行を見直し、現代の要求に対応できるような、より堅牢な戦略を構築する必要があります。