New CoPhish Attack Exploits Copilot Studio to Exfiltrate OAuth Tokens
2025/10/27 CyberSecurityNews — CoPhish と呼ばれる高度なフィッシング手法は、Microsoft Copilot Studio を悪用してユーザーを騙し、Microsoft Entra ID アカウントへの不正アクセスを攻撃者に許可させるものだ。Datadog Security Labs が命名したこの手法は、正規の Microsoft ドメイン上でホストされるカスタマイズ可能な AI エージェントを悪用することで、従来の OAuth 同意攻撃を巧妙に偽装し、信頼性を装いながらユーザーの疑念を回避するものである。この攻撃は、最近のレポートで詳細が明らかにされたものだ。それが浮き彫りにするのは、Microsoft が同意ポリシーの強化に努めているにもかかわらず、クラウドベースの AI ツールに継続的な脆弱性が存在することだ。
Copilot Studio の柔軟性を悪用する攻撃者は、無害に見えるチャットボットを作成して、ユーザーによるログイン認証情報の入力を促す。最終的に攻撃者は、OAuth トークンを窃取し、メールの閲覧やカレンダーへのアクセスといった、悪意の操作を実行するようになる。
この脅威のトレンドが示唆するのは、その背景に存在する AI サービスの急速な進化である。つまり、生産性向上を目的に設計された、ユーザーによる設定が可能な機能が、新たなスタイルのフィッシング攻撃を可能にしている。Copilot のようなツールを組織が採用する流れの中で、こうした悪用が浮き彫りにするのは、ローコード・プラットフォームに対する厳重な監視の必要性である。
MITRE ATT&CK テクニック T1528 に分類される OAuth 同意攻撃は、機密データへの広範な権限を要求する悪意のアプリ登録を、ユーザーに承認させるという手口である。
この手口は Entra ID 環境でも確認されており、攻撃者はメールや OneNote などの Microsoft Graph リソースへのアクセスを求めるアプリ登録を作成し、フィッシング・リンクを介して被害者に同意を促す。そして承認されると、生成されたトークンにより攻撃者はユーザーを装うことで悪意の操作のための権限を取得し、データ窃取や新たな侵害を可能にする。
長年にわたり、Microsoft は防御を強化してきた。たとえば 2020年には、未検証アプリに対する制限を設けている。さらに、2025年7月の更新では microsoft-user-default-recommended をデフォルト・ポリシーに設定し、Sites.Read.All や Files.Read.All などの高リスク権限への同意において、管理者の承認を必須としている。
しかし、依然として脆弱性は残っており、非特権ユーザーは Mail.ReadWrite/Calendars.ReadWrite などの内部アプリ権限を承認できてしまう。また、アプリケーション管理者などの管理者ロールを持つユーザーは、あらゆるアプリのあらゆる権限に同意できてしまう。
こうした状況を受け、2025年10月下旬に予定されているポリシー調整により、これらの脆弱性は緩和されていくが、権限を持つユーザーを完全に保護することはできないという。
CoPhish 攻撃は Copilot を悪用
Datadog Security Labs によると、CoPhish の手法を用いる攻撃者は、自身のテナントまたは侵害済みテナントの試用ライセンスを悪用して、悪意の Copilot Studio エージェント (カスタマイズ可能なチャットボット) を構築するという。このエージェントのログイン・トピック (認証のためのシステム・ワークフロー) には、ユーザーの同意取得後において、攻撃者が管理するサーバへユーザーの OAuth トークンを流出させる HTTP リクエストが仕込まれている。
デモのための Web サイトの機能は、”copilotstudio.microsoft.com” のような URL 経由でエージェントを共有し、公式 Copilot サービスを模倣することで、基本的なドメイン・チェックを回避するものだ。
その後に、被害者が共有リンクをクリックすると、見慣れた “ログイン” インターフェイスが表示され、それを操作するユーザーが、悪意の OAuth フローへとリダイレクトされることで攻撃が開始される。さらに、内部ターゲット向けには、Notes.ReadWrite などの許可されたスコープが要求される。また、管理者向けには、許可されていないスコープを含むすべてのスコープが要求されることもある。
このような同意が完了すると、”token.botframework.com” からの検証コードによりプロセスは完了する。多くのケースにおいて、生成されたトークンは Microsoft の IP を経由して秘密裏に転送されるが、ユーザーのトラフィック・ログからは隠蔽される。
その後に攻撃者は、盗み出したトークンを悪用することで、被害者に気づかれることなくフィッシング・メールの送信やデータ窃取などの操作を実行できる。このフローを図解すると、同意後にエージェントがトークンを発行し、情報流出を引き起こす仕組みが明確になる。
CoPhish に対抗するため、専門家たちが推奨するのは、Microsoft のデフォルト・コンフィグに加えてカスタム同意ポリシーを適用し、ユーザーによるアプリ作成を無効化するとともに、Entra ID の監査ログで不審な同意や Copilot の変更を監視することだ。
その一方で、この種の攻撃は、新興の AI プラットフォームにとって教訓となるはずだ。AI プラットフォームはカスタマイズが容易であるため、ID システムと組み合わせることで脆弱性が拡大する。クラウドサービスが普及する中、組織はこうしたハイブリッド脅威から身を守るために、堅牢なポリシーを優先的に導入する必要がある。
この記事が伝える問題は、Microsoft Copilot Studio の柔軟な設計が悪用され、正規のドメイン上でフィッシングが成立してしまうというものです。攻撃者は無害に見えるチャットボットを作り、ユーザーに自発的な同意を促すことで、OAuth トークンを盗み出せる状態を作っています。つまり、AI サービスの利便性と拡張性が、セキュリティ上の抜け道になっています。特に、管理者権限を持つユーザーが高リスクなスコープを承認できてしまう仕様が、この攻撃の成功要因となっています。ご利用のチームは、ご注意ください。よろしければ、Copilot で検索を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.