正規認証が悪用される? Microsoft 365の権限を奪う「デバイスコードフィッシング」とは
Microsoft 365を標的としたデバイスコードフィッシング攻撃が流行している。攻撃者が正規の認証プロセスを悪用し、多要素認証を回避してアクセス権を奪取する手口だ。高度なツールが用いられており、企業や政府機関を含む広範な組織が標的になっている。
「Microsoft 365」は利用者が多く、企業の内部情報を奪おうとするサイバー攻撃者にとって魅力的な標的だ。
メールセキュリティソリューションなどを提供するProofpointが2025年12月18日(現地時間、以下同)に公開したレポートによると(注1)、複数の脅威グループが「デバイスコードフィッシング」と呼ばれる手法を用いた攻撃を実行しており、ユーザーをだまして「Microsoft 365」のアクセス権を奪っているという。中国とロシアに関係するサイバー攻撃者が、ここ数カ月にわたり攻撃を実行してきた。
デバイスコードフィッシングは何が危険なのか
サイバー攻撃のアプローチは3つに分類できる。システムの脆弱(ぜいじゃく)性を突くか、人の心理の隙を突くか、DDoSのようにリソースを枯渇させるかだ。
デバイスコードフィッシングはクラウドサービスにアクセスするための正規の認証機能を悪用した攻撃だ。これまでのフィッシング攻撃と同様、人の心理を突く。
では、従来のフィッシング攻撃との違いは何だろうか。これまでは電子メールなどのアドレスを確認して怪しいドメインの場合は開かないといった対応が可能だった。しかし、デバイスコードフィッシングは正規のドメインを利用するため、このような対策は役に立たない。多要素認証を導入したとしていてもユーザー自ら正規の方法でログインするため、やはり対策にならない(キーマンズネット編集部)
Proofpointはデバイスコードフィッシングをどのように評価しているのだろうか。
正規認証が悪用される? Microsoft 365の権限を奪う「デバイスコードフィッシング」とは
Proofpointのサラ・サボトカ氏(主任脅威リサーチャー)は『Cybersecurity Dive』に次のように語った。
「デバイスコードフィッシングは、正規で信頼されている認証アクセスのワークフローを悪用するソーシャルエンジニアリングの手法だ」
Proofpointによると、まず、ハイパーリンクのあるテキストに埋め込まれたURLや、QRコード内に含まれたURLを記載したメッセージがユーザーに送り付けられる。ユーザーがリンクにアクセスしてしまうと、Microsoftの正規のデバイス認証プロセスを利用した一連の攻撃が始まる。
Proofpointの説明では、プロセスが開始されると、ユーザーにデバイスコードが提供される。コードは遷移先のページや2通目の電子メールで送られてくる。そして、ユーザーにデバイスコードをワンタイムパスワードとして入力するよう促す。ユーザーが入力してしまうとトークンが検証されて、攻撃者がMicrosoft 365のアカウントへのアクセス権を取得するという流れだ。
脅威グループは「SquarePhish2」や「Graphish」といったフィッシングツールを使用して攻撃を仕掛けている。Graphishを使うと、攻撃者は本物そっくりのフィッシングページを簡単に作成できる。これらのページは、「Microsoft Azure」のアプリ登録機能やリバースプロキシを悪用して、ユーザーと正規サービスの通信の間に割り込む中間者攻撃を実行する。
Proofpointは「TA2723」という名称で追跡されている攻撃者が、攻撃用の悪意あるツールをハッキングフォーラムで販売していると警告した。研究者は2025年10月初旬に始まったキャンペーンで、攻撃者がSquarePhish2を展開していたことを確認した。また、Graphishを使用した別のキャンペーンも確認されているようだ。
「UNK_AcademicFlare」という名称で追跡されているロシア寄りのグループは、2025年9月に最初に確認されたキャンペーンに関与している。攻撃では、複数の政府機関や軍事組織から盗まれた電子メールのアカウントが利用されて、米国や欧州の政府、シンクタンク、高等教育機関、運輸分野を標的とした。
Microsoftは今回の調査についてコメントしなかったが、2025年2月に公開した過去の調査レポートへのリンクを提供した(注2)。そのレポートには、「Storm-2372」として追跡されているロシアと関係するグループによるデバイスコードフィッシングのキャンペーンが詳しく記述されている。このグループは2024年8月以降、さまざまな手法を用いて同様の攻撃を継続してきた。
また、Microsoftは「Microsoft Teams」を狙った脅威に関する2025年10月時点のガイダンスも公開している(注3)。
出典:State-linked and criminal hackers use device code phishing against M365 users(Cybersecurity Dive)
注1:Access granted: phishing with device code authorization for account takeover(Proof Point)
注2:Storm-2372 conducts device code phishing campaign(Microsoft)
注3:Disrupting threats targeting Microsoft Teams(Microsoft)
関連記事
Googleの信頼を悪用 クラウドとフィッシングを組み合わせた新たな手口とは
Googleの教育用プラットフォーム「Google Classroom」を悪用したフィッシング攻撃が拡大している。監視されにくい経路へ被害者を誘導する巧妙な手口を使っており、従来のメールゲートウェイによる防御が難しい。
マルウェアから詐欺へ 変化したサイバー攻撃に対抗するには
ネットの危険がマルウェアから詐欺にどんどん集約されてきているという主張がある。マルウェアはソリューションで対応できるが、詐欺にはどうしたら対抗できるのだろうか。
多要素認証すら無意味に GoogleもMicrosoftも無力な新型フィッシングの正体
OktaはGoogleやMicrosoftの多要素認証を回避する新たなフィッシング攻撃基盤を確認したと発表した。同基盤の攻撃手法やユーザー側の対策を整理する。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- AIに書かせたコードはどこが「危ない」? プロがガチ採点して分かったこと
- リチウム電池も終了か 40年眠っていた、充電を爆速化する「古くて新しい電池」って?:866th Lap
- 「国家資格で食える」はもう古い? 5年分の調査で見る、AWS、セキュリティに続く“次の資格”
- AIアプリ開発「Dify」って結局何がすごいの? 機能、料金、ユースケースを徹底解説
- 正規認証が悪用される? Microsoft 365の権限を奪う「デバイスコードフィッシング」とは
- PC高騰、いつまで続く? IDCアナリストに聞く値上げ時代の賢いPC調達術
- 極悪なウソつきはGeminiかGPTか? 4つのAIモデルをガチ対戦させてみた結果:865th Lap
- AIエージェントの無制限の利用が招く致命的な末路
- 「OneDrive」新設定の"死角"とは? 「Microsoft 365」直近3カ月のアプデ総括
- 消えたRPA、覇権のAWS 5年分の調査で分かった、現場が選ぶ“地味だが強い”IT資格
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。