New Phishing Wave Uses OAuth Prompts to Take Over Microsoft Accounts
2025/10/24 gbhackers — OAuth 認証プロンプトを巧妙に操作する新たなフィッシング攻撃が、Microsoft アカウント保有者を狙っている。この攻撃者の手口は、ユーザーに直接パスワードの入力を求めるのではなく、正規の Microsoft 認証画面を装うことでユーザーを欺き、悪意のアプリケーションへの許可を促すものだ。この手法により、従来のパスワード保護や多要素認証が回避されるため、標的とされるユーザーはきわめて危険な状況にある。
このような巧妙な攻撃の増加を、すでにセキュリティ研究者たちは確認している。この攻撃では、フィッシング・メールによる誘導から始まり、偽の OAuth 同意画面上でのリンクのクリックが促される。
ユーザーがクリックして許可を与えると、攻撃者は正規のアクセス・トークンを不正に取得し、実際のパスワードを必要とせずに Microsoft アカウントを完全に制御できる。
このフィッシング・メールは、信頼できるソースからの送信を装い、緊急性を煽る文面でクリックを促す。ユーザーがリンクをクリックすると、本物を精巧に模倣する Microsoft ログイン・ページが表示される。
そこで認証情報を入力すると、アプリケーションへのアクセスの許可を求める標準的な OAuth 許可プロンプトが表示される。このプロンプトは Microsoft の正規のブランドを使用しており、ユーザーが日常的に目にする認証プロセスに従っているため、正当なものだと誤解してしまう。
このような許可画面が表示されることを、ユーザーが想定している点を悪用するため、この攻撃はきわめて効果的だ。通常において、Microsoft アカウントでサードパーティ製アプリを使用するユーザーは、同様のプロンプトを頻繁に目にしている。この慣れ親しんだ環境と信頼関係を、この攻撃者は悪用する。
この悪意の要求に対してユーザーが許可を与えると、攻撃者のアプリケーションはアカウントへのフルアクセスを提供する OAuth トークンを受け取る。これらのトークンは、ユーザーがパスワードを変更しても、追加のセキュリティ対策を有効にしても、有効な状態を維持する可能性が高い。
従来のフィッシング攻撃では、ユーザーに対してパスワードの入力を求めるが、現在の多くの組織のパスワードは多要素認証により保護されている。しかし、この新しい手法は、これらの保護を完全に回避し得る。
そして OAuth トークンを不正に取得した攻撃者は、Microsoft アカウントに保存されているメール/ファイル/連絡先/予定表などの情報に直接アクセスできる。ビジネス・ユーザーにとって、それが意味するのは、企業の機密データ/機密通信/顧客情報へのアクセスが可能になることだ。
ユーザー組織は、さらに大きなリスクに直面する。侵害したアカウントを足掛かりとする攻撃者は、企業ネットワーク全体へのアクセスを可能にするかもしれない。攻撃者は、信頼できる同僚からのメールを装い、悪意のファイルを共有し、社内のシステムやプロセスに関する情報を収集する可能性がある。
ユーザーが徹底すべきは、予期せぬメールに記載されている認証画面へのリンクを決してクリックしないことである。その代わりに、ブラウザから Microsoft アカウントの設定を開くようにする。そのアプリケーションが要求するアクセス・レベルを注意深く確認し、疑わしければ拒否すべきだ。
ユーザー組織にとって必要なことは、Microsoft 環境全体で異常な OAuth トークンの使用状況や疑わしいアプリケーション権限を監視する、セキュリティ・ツールを導入することである。
Microsoft アカウント所有者は、条件付きアクセス・ポリシーなどの利用可能なセキュリティ機能を有効に活用し、異常なサインイン場所やデバイスの使用パターンを確認する必要がある。
セキュリティ意識向上トレーニングでは、OAuth フィッシングの手口について具体的に取り上げ、疑わしい権限プロンプトに対しては、パスワード要求と同様に精査すべきであることを従業員に理解させる必要がある。
偽装アプリに対する OAuth 同意プロンプトを悪用し、Microsoft アカウント侵害するというフィッシング攻撃が検出されました。この攻撃者は、正規の Microsoft 認証画面を模倣する流れを見せ、権限付与のクリックを誘います。結果として、パスワードや MFA を介さずに、有効なアクセス・トークンを取得し、メールやファイルなどへの継続的にアクセスを可能にします。日常的な同意操作への慣れが盲点になっていると、この記事は指摘しています。よろしければ、Phishing で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.