Volexityの調査によると、ロシア対外情報庁に所属する ’Cozy Bear’ を含む、複数のロシアのグループが、Microsoft 365アカウントを狙った高度なスピアフィッシング攻撃を展開しています。
攻撃者は米国国務省、ウクライナ国防省、欧州議会、著名な研究機関の職員などになりすまし、攻撃を仕掛けています。
これらの攻撃では ’デバイスコード認証’ と呼ばれる手法が使用されています。この手法は、ユーザーにコードの入力を促し、攻撃者がアカウントへのアクセス権を取得できるように仕組まれています。本来、この認証方法はスマートTVやプリンターなど、入力が制限されたデバイスからのサインインを容易にするためにMicrosoftが提供しているものです。この手法についてVolexityは次のように説明しています。「攻撃者がユーザーに特定のコードを入力(およびログイン)するように欺くことができれば、ユーザーのアカウントへの長期的なアクセス権を取得できてしまいます。」
さらに、リサーチャーは次のように述べています。「この手法は、他のスピアフィッシング攻撃と比較して、アカウント侵害の成功率が著しく高いです。」
攻撃者はまず、メールやメッセージングアプリを通じて標的となるユーザーと会話を開始します。信頼関係を築いた後、攻撃者はMicrosoft Teamsのミーティングやチャットルームのリンクを装ってメッセージを送信します。このリンクをクリックすると、ユーザーはMicrosoftデバイスコード認証ページに誘導され、コードの入力を求められます。
ある事例では、攻撃者がSignalを通じてユーザーに接触し、別のチャットアプリケーションへの移行を持ちかけています。
リサーチャーはこの攻撃について次のように分析しています。「攻撃者による最初の接触は、ユーザーに安全なチャットへの招待と思い込ませる罠です。しかし、コードを入力してしまうと、実際には、攻撃者にアカウントへのアクセス権を与えることになります。生成されたデバイスコードの有効期限は15分間のみです。このような、リアルな会話内容およびタイムリーな招待コードを送ることによって、フィッシング攻撃の成功の可能性が高まります。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Volexityの記事を参照してください。
原典:Stu Sjouwerman著 2025年2月18日発信 https://blog.knowbe4.com/protect-your-data-russian-spear-phishing-targets-microsoft-365-accounts