Microsoft Entraアカウントを標的とした新たなフィッシング攻撃を確認

Microsoft Entraアカウントを狙うフィッシング攻撃、OAuth悪用の手口を確認

Microsoft Entraアカウントを標的とするフィッシングキャンペーンが確認された。製造業や技術関連企業、金融機関などが主な対象とみられる。

今回の攻撃では、OAuth 2.0のデバイス認証フローを悪用する「デバイスコードフィッシング」と、音声を利用した「vishing（ボイスフィッシング）」が組み合わされている点が特徴だ。関与したグループについては、「ShinyHunters」との関連が指摘されている。

正規OAuthフロー悪用、認証トークンを窃取

攻撃者は、正規のMicrosoft OAuthクライアントIDとデバイス承認フローを悪用し、Microsoft Entraアカウントの認証トークンを取得しているとみられる。取得したトークンは、Microsoft 365をはじめ、Dropbox、Google Workspace、Salesforce、Atlassianなどのシングルサインオン（SSO）対応サービスへの不正アクセスに利用される可能性がある。

この手口では、利用者が通常の認証手続きと認識したまま操作を進めてしまう点が特徴だ。その結果、認証基盤を前提とした防御機構をすり抜ける形となる。

類似事例を踏まえた対策の重要性

今回の攻撃は、2025年12月に確認されたMicrosoft 365利用者を狙うデバイスコード型攻撃の延長線上にあるとみられる。当時は、偽のボイスメール通知や支払い設定の確認を装う手口など、複数のソーシャルエンジニアリングが確認されていた。

専門家は、不審なOAuthアプリへの同意を定期的に見直すことや、悪意のあるドメインの通信を制限すること、Azure ADのサインインログを継続的に監視することが有効だとしている。こうした基本的な対策の徹底が、不正なトークン取得やアカウント侵害の早期発見につながる可能性がある。

認証基盤の理解と継続的な対策が課題

本件は、OAuthを含む認証基盤の仕組みに対する理解と、継続的なセキュリティ対策の重要性を改めて示す事例といえる。特に、デバイスコードを悪用する手口や音声を組み合わせたフィッシングへの警戒が求められる。

企業は最新のセキュリティ更新を適用するとともに、ログ監視や異常検知の体制を強化する必要がある。また、利用者に対する継続的な教育も、認証情報の不正取得を防ぐ上で重要な要素となる。