OAuthを悪用した高度な攻撃「同意フィッシング」に注意 SaaS乗っ取りのリスク：セキュリティニュースアラート

正規のOAuthプロバイダーを悪用し、ユーザーに悪意のあるアプリへの権限付与を促す高度なサイバー攻撃「同意フィッシング」が確認された。SaaSの乗っ取りやChrome拡張機能の改ざんなど企業や個人に深刻な被害をもたらす可能性がある。

[後藤大地，有限会社オングス]

　コンピュータ情報サイト「Security Boulevard」は2025年1月3日（現地時間）、「同意フィッシング（Consent Phishing）」の脅威について報じた。

　同意フィッシングはユーザーをだましてSaaSアカウントへのアクセスを許可させ、機密情報の窃取やアカウントの乗っ取りを狙う高度なサイバー攻撃だ。この手法はGoogleやMicrosoftなどの正規のOAuthプロバイダーが提供する権限管理機能を悪用するという。

同意フィッシングとは何か？　攻撃ケースと対抗策を解説

　OAuthはユーザーが信頼できるIDプロバイダー（IDP）を通じて認証を実施し、他のアプリケーションがユーザーの認証情報を共有せずにアクセス権限を得られる仕組みだ。

　この仕組みは本来、効率的なワークフローやアプリケーションの統合を目的としている。しかし攻撃者はこれを利用して悪意のあるアプリにユーザーが同意を与える形で権限を取得する。典型的な同意フィッシングでは攻撃者が正規のIDPに似たリダイレクト先を用意し、ユーザーに特定の権限の付与を求める。これを承認すると攻撃者はアクセスや操作を可能にするトークンを取得し、不正行為を実行できるようになる。

　Security Boulevardは同意フィッシングの危険性を示すケーススタディーを紹介している。

• O365／Gmailアカウントの乗っ取り：　「Microsoft OneDrive」や「Google Drive」からのファイル共有通知を模倣したスピアフィッシングメールを使い、ユーザーのメールアカウントを乗っ取る。さらに社内の他の従業員にも悪意のある電子メールを送信し、被害を拡大させる
• GitHubリポジトリーへの侵害：　偽の求人情報やセキュリティ警告を送信して悪意のあるWebサイトに誘導し、プライベートリポジトリへのアクセスを奪う
• Chrome拡張機能の悪用：　「Chrome ウェブストア」を模倣した電子メールが開発者に送信され、拡張機能を編集できるアカウントを窃取する。拡張機能に悪意のあるコードを挿入し、ユーザーから機密情報を盗み出す

　同意フィッシングに対処するためのベストプラクティスは以下の通りだ。

• OAuth権限付与を制限：　SaaSにリスクの高いOAuth権限を付与しない仕組みを整える。特に機密情報の読み取りやユーザーのアカウントへの書き込み、編集、公開などの権限を付与しないようにする。Webブラウザ検出および対応（BDR）ソリューションを活用して権限管理を効率化し、例外処理の透明性を高める
• ユーザー教育を強化：　同意フィッシングへの認識不足が攻撃の効果を高めているため従業員向けにトレーニングを提供し、リスクの理解を促進する。具体例やケーススタディー、OAuth権限に関連するリスクを説明するカスタムメッセージを通じて認証ワークフローへの意識を向上させる
• 既存権限の定期監査：　無害に見えるアプリが後に悪意を持つアプリに変化する可能性があるため、使用中のアプリやその権限を定期的に監査する。サプライチェーン攻撃や脆弱（ぜいじゃく）性のリスクを低減するためのプロアクティブな対策が重要とされている

　同意フィッシングはクラウドサービスやSaaSの普及に伴い増加しており、企業や個人が標的にされるケースが増えている。正規の手順に見せかける巧妙な手法であるため、細心の注意を払うことが求められている。