OAuthアプリを悪用してクラウドに侵入 Proofpointが発見した新戦術：セキュリティニュースアラート

Proofpointは、OAuthアプリを悪用してクラウド環境内で恒久的な不正アクセスを維持する攻撃を確認した。攻撃者は内部アプリを偽装し、パスワード変更後も権限を保持する。定期的なアプリ監査と権限管理が防御に不可欠としている。

[後藤大地，ITmedia]

　Proofpointは2025年10月21日（現地時間）、OAuthアプリケーションを悪用して不正にクラウド環境内での永続的なアクセス権限を取得する手口を確認したと報告した。従来の認証情報窃取だけでなく、パスワードリセットや多要素認証の適用後も不正なアクセス権限を保持する点が特徴的なサイバー攻撃とされている。

Proofpointが警告、OAuthアプリ悪用による永続的クラウド侵害手口

　サイバー犯罪者や国家支援系の攻撃者は近年、クラウドのアカウント乗っ取り（ATO）の一環として悪意あるOAuthアプリを利用する事例を増やしている。こうした攻撃において、ユーザーアカウントを掌握した後、偽装した内部アプリを登録して権限を付与し、メールボックスやファイル、共有ドキュメントなど機密資産への長期的なアクセスを確保する。

　Proofpointは、実際に攻撃者が利用し得る仕組みを再現するため、侵害済みクラウド環境内で自動的に悪意ある内部アプリを作成するツールを開発している。このツールの実装検証により、OAuthを利用した永続化手法が自動化可能になっていることが確認された。

　クラウド環境、特に「Microsoft Entra ID」では内部で登録されるセカンドパーティーアプリと外部テナントに登録されるサードパーティーアプリが存在する。前者は組織内の管理者や権限保持ユーザーによって作成され、内部信頼を前提として運用される。後者は外部の開発者が提供するサービスで、アクセス権限の付与には管理者の明示的な同意や追加審査を伴う。

　攻撃者は侵害後の活動段階で、外部監視の対象になりにくいセカンドパーティーアプリの作成を好む傾向があるという。これらは組織内部のディレクトリで正規アプリと同様に見え、第三者アプリ用のセキュリティ制御を回避する可能性が高いとされている。

　Proofpointが示した攻撃手順ではまず、攻撃者はフィッシングなどでユーザーの認証情報やセッションクッキーを窃取し、標的アカウントに侵入する。続いて、その権限を利用して新たな内部アプリを登録し、任意の権限スコープを設定する。このアプリには暗号学的に生成されるクライアントシークレットが生成され、アクセス用のトークン（アクセストークン、リフレッシュトークン、IDトークン）が発行される。

　重要なのは、この不正アプリがユーザー資格情報とは独立して動作する点だ。Proofpointの実験において、対象ユーザーのパスワードを変更してもアプリのアクセス権は維持されている。メールボックスの内容取得や過去の通信データの閲覧が継続可能であり、実質的に恒常的なバックドアとなる。権限設定次第によっては、「Microsoft SharePoint」「Microsoft OneDrive」「Microsoft Teams」、カレンダー、連絡先といった「Microsoft 365」関連の各リソースにも影響が及ぶ。

　Proofpointはこの仕組みをMicrosoft Entra ID管理画面で確認できると指摘している。アプリ登録の一覧には、正規アプリと同様の形式で不正アプリが表示されるため、日常的な監査と設定点検を怠ると発見が困難になる。削除や権限取り消しができない限り、アクセスは継続し得る。Proofpointの検証環境において、クライアントシークレットの有効期間を2年間に設定し、長期アクセス維持を再現している。

　Proofpointは脅威が既に実際の攻撃活動で悪用されていると警告している。対応策としてクライアントシークレットと証明書の失効、ユーザートークンの取り消し、該当アプリ登録の削除が必要とされる。業務アプリの継続監視と自動修復の導入、従業員教育による不審なアプリ承認リクエストへの警戒強化を推奨している。

　OAuthアプリを利用した永続化攻撃は、クラウド利用の利便性と引き換えに新たなセキュリティリスクを生む要因となっている。Proofpointは、定期的なアプリ審査と権限の見直しを怠らないことが、侵害の長期化防止に不可欠と結論付けている。