デバイスコードを使う認証フローでアクセス権を窃取 新たなフィッシングキャンペーン:Cybersecurity Dive
ロシアの支援を受けたハッカーが、デバイスコードを悪用したフィッシング攻撃キャンペーンを展開している。このキャンペーンでは「Microsoft Teams」や「Signal」「WhatsApp」を模倣した誘導手法が使われている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ロシアの支援を受ける攻撃者がデバイスコードを狙ったフィッシングキャンペーンを実行しており、観測された限りでは2024年8月から幅広い組織を攻撃している。
デバイスコードを狙ったフィッシングキャンペーンが激化
Microsoft Threat Intelligenceは2025年2月13日(現地時間、以下同)、「ロシアの支援を受ける脅威グループ『Storm-2372』が特定のフィッシング手法を利用し、デバイスコードを使ったアプリケーションの認証フローを悪用してトークンを取得し、標的のアカウントにアクセスしている」とブログに投稿し(注1)、警告した。
Storm-2372による同キャンペーンが積極的に実行され、かつ成功したとのことだ。このキャンペーンでは「Microsoft Teams」および「Signal」「WhatsApp」を模倣した誘導手法が使われている。
Microsoftによると、Storm-2372は、欧州および北米、アフリカ、中東において、政府機関やIT、防衛、通信、医療、高等教育、エネルギーなどの業界の組織を標的にしている。
デバイスコードは、認証のためにインタラクティブなWebフローを完了できないデバイスでアカウントを認証するために使用されるもので、数字または英数字から成るコードだ。デバイスコードを利用したフィッシング攻撃では、攻撃者がアプリケーションやサービスにデバイスコードを生成させ、標的のユーザーをだまして正規のサインインポータルにそのコードを入力させる。
Microsoft Threat Intelligenceは、ブログの投稿で次のように述べた。
「これによって攻撃者はアクセス権を取得し、生成された認証トークン(アクセス・リフレッシュトークン)を取得した上で、それらを使用して標的のアカウントやデータにアクセスできるようになる。さらに、攻撃者はこれらのフィッシングによって得た認証トークンを利用し、パスワードを介さずに、電子メールやクラウドストレージのようにユーザーがアクセス権を持つ他のサービスにも侵入することが可能となる」
Storm-2372がフィッシングキャンペーンを強化
フィッシング攻撃はさらに激化しているようだ。Microsoftは2025年2月14日にブログの投稿を更新し、過去24時間の間にStorm-2372が「Microsoft Authentication Broker」のクライアントIDを使用し始めたと警告した。これにより、攻撃者はリフレッシュトークンを取得できる。攻撃者は、取得したリフレッシュトークンを使用して新たな認証トークンを要求し、「Microsoft Entra ID」内に攻撃者が管理するデバイスを登録することが可能になる。
更新されたブログには、次のようにも記載されている。
「同じリフレッシュトークンと新しいデバイスIDを使用することで、Storm-2372はプライマリーリフレッシュトークン(PRT)を取得し、組織のリソースにアクセスできるようになる。また、私たちは、Storm-2372が接続されたデバイスを利用して電子メールを収集していることを確認した」
Microsoft Authentication Brokerは、「Microsoft Authenticator」のアプリケーションにおけるコンポーネントだ。「Cybersecurity Dive」はMicrosoftにコメントを求めたが、同記事の掲載時点で回答はなかった。
サイバーセキュリティ事業を営むVolexityは、ロシアのハッカーと思われる攻撃者が「Microsoft Office」とMicrosoft TeamsのクライアントIDを悪用する類似の攻撃活動を確認した。2025年2月10日の週のブログ投稿で、同社はデバイスコードを利用したフィッシング攻撃に対する最も効果的な防御策として、組織の「Microsoft 365」のテナントにおいてデバイスコードによる認証を完全に禁止する条件付きのアクセスポリシーを作成することを推奨している。
Volexityの投稿によると、デバイスコードを利用した手法は特に危険だという。これは、フィッシングメールに悪質なリンクや添付ファイルが含まれておらず、サイバーセキュリティ製品による検出が容易ではないためだ。同社はブログ投稿に「私たちが把握している標的型の攻撃の状況から判断すると、この手法は、同じ(または類似の)攻撃者が過去数年間にわたって行ってきた他のソーシャルエンジニアリング攻撃やスピアフィッシング攻撃を全て合わせたものよりも、はるかに効果的であることが分かっている」というコメントを投稿した(注2)。
(注1)Storm-2372 conducts device code phishing campaign(Microsoft Security)
(注2)Multiple Russian Threat Actors Targeting Microsoft Device Code Authentication(VOLEXITY)
関連記事
“あまりにもお粗末” 岡山県の病院で起きたランサム被害から得られる教訓
岡山県の病院が公開した「ランサムウェア事案調査報告書」に注目が集まっています。この報告書では“あまりにもお粗末なセキュリティの実態”が包み隠さず明らかにされていますが、これを笑える人は一体どのくらいいるのでしょうか。
どこを読んでも学ぶとこしかない 岡山県の病院のランサム被害報告書を徹底解説
岡山県精神科医療センターにおけるランサムウェア事案調査報告書が大きな反響を巻き起こしています。その至らなさを赤裸々に語ったこの報告書は学びの宝庫です。今回は同ランサム事案の問題点を徹底的に解説していきましょう。
「DNSよく分からん勢」に送る サブドメイン乗っ取り事案から考えるASMの本質
JPRSが「サブドメインの乗っ取り」に関する注意喚起を公開しました。これは非常に深刻な問題ですが、「DNS周辺はよく分からん」という人も多く、対策するには重い腰を上げなければならないのも事実。そんな人に向けてやるべきことをお伝えします。
ChatGPTにマルウェアを作らせる 新たな脱獄手法「Time Bandit」の詳細
ChatGPTの新たな脱獄手法「Time Bandit」が発見された。時間的混乱を利用することで、マルウェアの開発方法など、本来提供されるべきでない情報を引き出すことが可能とされている。
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。