リードアナリスト:Jeewan Singh Jalal、Prabhakaran Ravichandhiran、Anand Bodke
KnowBe4 Threat Labsは、北米の企業や専門職従事者を標的とした高度なフィッシングキャンペーンを検出しました。この攻撃では、OAuth 2.0のデバイス認可フローを悪用し、Microsoft 365アカウント(Outlook、Teams、OneDrive)を侵害します。強力なパスワードや多要素認証(MFA)を回避できる点が特徴です。
まず、被害者は正規のMicrosoftドメイン(microsoft.com/devicelogin)へ誘導され、攻撃者が用意したデバイスコードの入力を求められます。認証が完了すると、攻撃者のアプリケーションに有効なOAuthアクセストークンが発行されます。攻撃者はこのトークンを取得することで、被害者のMicrosoft 365アカウントや組織のデータへ継続的にアクセスできるようになります。
キャンペーンの概要
-
新しい攻撃手法:このキャンペーンは、認証情報そのものを盗むのではなく、被害者に攻撃者が用意したデバイスコードを使わせ、正規のMicrosoft画面でログインと多要素認証を完了させる手口です。その後、攻撃者はトークンエンドポイントに繰り返し照会し(ポーリング)、OAuthのアクセストークンとリフレッシュトークンを取得します
-
多要素認証(MFA)の回避:この攻撃が非常に効果的なのは、トークンの窃取がユーザーがMFA認証を完了した後に行われるためです
- 標的:このキャンペーンが最初に観測されたのは2025年12月で、現在も継続しています。攻撃は北米に集中しており、44%以上が米国で確認されています。特にテクノロジー、製造、金融業界が狙われています
- 大きな影響:盗まれたトークンにより、攻撃者はMicrosoft 365環境への継続的なアクセスを維持できます。メールの閲覧や送信、カレンダーやファイル(OneDrive/SharePoint)の操作だけでなく、管理者権限まで奪われる恐れがあります
- 緊急の対策:最優先すべきは、最近承認されたOAuthアプリの監査です。また、特定の送信者や件名のパターンを手がかりにメールログを調査し、管理者は「条件付きアクセス(Conditional Access)」ポリシーによる制限や、不要なデバイスコードフローの無効化を検討してください
5段階の攻撃プロセス
次の図は、この攻撃の一連の流れを示しています。最初の誘導から最終的なトークン窃取まで、攻撃は以下の5つのフェーズに分かれます。
フェーズ1 - Microsoft 365 OAuthのデバイスコード生成と誘導:攻撃者はMicrosoft 365のOAuthアプリに登録し、固有のデバイスコードを生成。それをフィッシングメールに組み込みます
フェーズ2 - 標的が誘導に応じる:被害者はフィッシングメールを受信し、その中に埋め込まれた悪意のあるリンクをクリックします
フェーズ3 - 攻撃者が管理する偽サイト:被害者は偽のランディングページへ誘導されます。そこでメールアドレスの入力を求められ、攻撃者の用意したデバイスコードを使って認証を行うよう促されます
フェーズ4 - 正規ポータルでユーザーが認証:被害者は正規のMicrosoftポータル(https://microsoft.com/devicelogin)へ移動し、攻撃者が用意したデバイスコードを入力します。その後、正規の認証情報とMFAを使って認証を完了します
フェーズ5 - トークン窃取と継続的なアクセス:認証完了後、Microsoftから発行された有効なアクセストークンを攻撃者が取得します。これにより、攻撃者は被害者のアカウントへ長期間アクセスし続けることが可能になります
実際に確認されたフィッシングの誘導手口
このキャンペーンが成功している背景には、緊急性を装う、信頼を逆手に取る、金銭的利益など、人間の心理を突く高度なソーシャルエンジニアリングがあります。KnowBe4 Threat Labsは、攻撃者が使用していた複数の主要な誘導手口を確認しています。
| 種類 | 件名例 | 主な手口 |
| 支払い確認通知 | REF-UIVJRW 電子送金確認:支払い処理完了のお知らせ | 約2,000万円の電子送金を持ち出し、処理まで1〜2営業日しかないように見せて緊急性をあおります。 |
| ドキュメント共有通知 | [連絡先名] が「2025年 Q4ターゲット」を共有しました | Google Driveのドキュメント共有通知を装い、給与ボーナスという金銭的な誘因で開封を促します。 |
| ボイスメール通知 | [外部メールアドレス] からのボイスメール通知(925秒) | 不自然に長い再生時間を示した偽のボイスメール通知で好奇心をあおり、「ボイスメールを再生」のクリックを誘います。 |
侵害の痕跡(IOC)と実践的な防御策
このようなキャンペーンは、特定の痕跡やパターンを伴います。セキュリティチームはそれらを手がかりに、侵害の有無を調査し、脅威を速やかに遮断できます。
| IOCの種類 | 例 |
| 送信元アドレス | noreply-application-integration@google.com |
| 悪意のあるドメイン | logon[.]sharefileselfservices[.]cloud, sso-services[.]com, newcrowdcapital[.]com |
| クラウドストレージのURL | storage[.]cloud[.]google[.]com/.../check[.]html, storage[.]cloud[.]google[.]com/.../captcha[.]html |
| 件名 | [外部メールアドレス] からのボイスメール通知(925秒)、[連絡先名] が「2025年 Q4ターゲット」を共有しました |
すぐに取るべき対応(セキュリティチーム向け)
- IOCをブロック:確認されている悪意のあるドメインやURLを、メールゲートウェイやプロキシのブロックリストに即座に追加してください
- 侵害の有無を調査する:特定された送信者パターンと件名パターンをもとに、メールログを確認してください
- OAuthアプリケーションを監査する:Microsoft 365 Admin CenterでOAuthアプリケーションを早急に確認し、不審なアプリや見覚えのないアプリに付与された権限を取り消してください
-
サインインログを確認する:Azure ADのサインインログを確認し、デバイスコード認証履歴や通常とは異なる地域からのサインインを調査してください
中長期的なシステム制御(IT/管理者向け)
- デバイスコードフローの無効化を検討する:共有端末などで利用する必要がない場合は、この機能自体をオフにすることで、この攻撃ルートを完全に遮断できます
- PowerShellコマンド:Update-MgPolicyAuthorizationPolicy -AllowedToUseDeviceCodeFlow $false
- 条件付きアクセスを導入する:デバイスコードフローを利用できるユーザーや場所を、必要最小限に制限してください
-
OAuthアプリへの同意を監視する:Microsoft Defender for Cloud Appsを導入し、OAuthアプリへの同意を監視・管理してください
ヒューマンリスクマネジメント(HRM)への転換
今回のOAuthトークン窃取キャンペーンのように正規ドメインを悪用し、MFAさえも回避するこの手口は、これまでの境界防御や認証チェックだけでは防ぎきれないことを示しています。
こうした高度な脅威に対抗するには、ヒューマンリスクマネジメント(HRM)の導入が不可欠です。HRMは、最新の脅威情報とユーザー教育の間にあったギャップを埋めるための枠組みです。
最も効果的なのは、実際に起きている攻撃手法をそのまま取り込んだ実践的なフィッシングシミュレーションです。これにより、ユーザーは抽象的な知識としてではなく、現実的なトレーニングで脅威を見抜く力を養い、組織全体の防御力を継続的に高めていくことができます。
原典:KnowBe4 Threat Lab著 2026年2月12日発信 https://blog.knowbe4.com/uncovering-the-sophisticated-phishing-campaign-bypassing-m365-mfa