OAuth – IoT OT Security News

Copilot Studio を悪用する CoPhish 攻撃が拡大：OAuth トークンを窃取する新たな攻撃手法

New CoPhish Attack Exploits Copilot Studio to Exfiltrate OAuth Tokens

2025/10/27 CyberSecurityNews — CoPhish と呼ばれる高度なフィッシング手法は、Microsoft Copilot Studio を悪用してユーザーを騙し、Microsoft Entra ID アカウントへの不正アクセスを攻撃者に許可させるものだ。Datadog Security Labs が命名したこの手法は、正規の Microsoft ドメイン上でホストされるカスタマイズ可能な AI エージェントを悪用することで、従来の OAuth 同意攻撃を巧妙に偽装し、信頼性を装いながらユーザーの疑念を回避するものである。この攻撃は、最近のレポートで詳細が明らかにされたものだ。それが浮き彫りにするのは、Microsoft が同意ポリシーの強化に努めているにもかかわらず、クラウドベースの AI ツールに継続的な脆弱性が存在することだ。

Salesloft Drift の OAuth Token 悪用：大規模な SOQL クエリにより機密情報が流出

Hackers Abuse Compromised OAuth Tokens to Access and Steal Salesforce Corporate Data

2025/08/27 gbhackers — Google Threat Intelligence Group (GTIG) が発表したのは、Drift 統合を介した Salesforce インスタンスを標的とする、広範なデータ窃取作戦に関するアドバイザリである。2025年8月8日以降において脅威アクター UNC6395 は、Salesloft Drift アプリに関連付けられた有効なアクセス／リフレッシュ・トークンを悪用し、認証済みの接続アプリユーザーとして不正な接続を行っていた。さらに、大規模な SOQL クエリを実行し、Accounts／Opportunities／Users／Cases など主要な Salesforce オブジェクトから、レコードをエクスポートしていた。

OAuth2-Proxy の脆弱性 CVE-2025-54576 が FIX：悪意のクエリ・パラメータによる認証バイパス

OAuth2-Proxy Vulnerability Enables Authentication Bypass by Manipulating Query Parameters

2025/07/31 CyberSecurityNews — OAuth2-Proxy に、深刻なセキュリティ脆弱性が発見された。この広く利用されるリバース・プロキシ OAuth2-Proxy は、Google／Azure／OpenID Connect などの多数の ID プロバイダに対して認証サービスを提供するものだ。この脆弱性 CVE-2025-54576 (CVSS：9.1) を悪用する攻撃者は、細工した URL 内のクエリ・パラメータを操作することで、認証メカニズムをバイパスし、保護されたリソースへの不正アクセスを可能にする。

mcp-remote の脆弱性 CVE-2025-6514 が FIX：OAuth エンドポイントを介した悪意のペイロード注入

Critical mcp-remote Vulnerability Exposes LLM Clients to Remote Code Execution Attacks

2025/07/10 CyberSecurityNews — mcp-remote プロジェクトで発見された深刻な脆弱性 CVE-2025-6514 (CVSS：9.6) を悪用する攻撃者は、信頼できない Model Context Protocol (MCP) サーバに接続するマシン上で、任意の OS コマンド実行の可能性を得ている。この脆弱性が影響を及ぼす範囲はバージョン 0.0.5〜0.1.15 であり、リモートで MCP サーバを使用する LLM (Large Language Model) クライアントに深刻なリスクをもたらし、最悪の場合には、システム全体の乗っ取りに至るという。

Firefox の悪意のエクステンション８件：OAuth Token／Password を盗んでユーザーを監視

8 New Malicious Firefox Extensions Steal OAuth Tokens, Passwords and Spy on Users

2025/07/07 CyberSecurityNews — OAuth トークン／パスワードの窃取を積極的に行い、欺瞞的手法によりユーザーを監視する、８件の悪意の Firefox エクステンションで構成される高度なネットワークを、Socket Threat Research Team のセキュリティ研究者たちが発見した。この発見で明らかにされたのは、人気のゲーム・タイトルやユーティリティ・アプリの悪用を通じて、Firefox エコシステム全体のユーザー・セキュリティを侵害する、組織的なキャンペーンの存在である。

Entra ID に潜む “nOAuth” という脆弱性：SaaS アプリにおけるアカウント乗っ取りの可能性

nOAuth Exploit Enables Full Account Takeover of Entra Cross-Tenant SaaS Applications

2025/06/26 gbhackers — Microsoft Entra ID と統合される SaaS (Software-as-a-Service) アプリケーションの一部において、“nOAuth” と命名される深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、テナント間の境界を越えた、完全なアカウント乗っ取りの可能性を得る。2025年6月26日に公開された、セキュリティ企業 Semperis による調査結果によると、Microsoft Entra App Gallery に掲載されている 104個のアプリのうちの 9個 (約9%) が、この脆弱性の影響を受けるという。

Microsoft OneDrive File Picker の脆弱性：アプリからクラウドへのフル・アクセスの恐れ

Microsoft OneDrive File Picker Flaw Grants Apps Full Cloud Access — Even When Uploading Just One File

2025/05/28 TheHackerNews — Microsoft の OneDrive File Picker に存在するセキュリティ上の脆弱性を、サイバーセキュリティ研究者が発見した。この脆弱性が悪用されると、Web サイトに対して不正な権限が付与され、ツール経由でアクセスされるアップロード・ファイルだけではなく、対象となるユーザーが関与するクラウド・ストレージ全体へのアクセスが可能になるという。

GitHub リポジトリ 12,000 件が標的：偽のセキュリティ通知を悪用するフィッシング攻撃

Fake “Security Alert” issues on GitHub use OAuth app to hijack accounts

2025/03/16 BleepingComputer — 偽のセキュリティ通知を手段とする、大規模なフィッシング攻撃の標的として、約 12,000 の GitHub リポジトリが狙われている。この偽アラートを悪用する攻撃者は、開発者を騙して悪意の OAuth アプリを承認させ、アカウントやコードの完全な制御権を獲得する。その、偽のセキュリティ通知に含まれるメッセージは、「セキュリティ警告：異常なアクセス試行：ユーザーの GitHub アカウントへのログイン試行が、新しい場所またはデバイスから行われたことを検知する」というものだ。

Adobe／DocuSign アプリの OAuth リクエストには要注意：Microsoft 365 アカウント乗っ取りが多発

Malicious Adobe, DocuSign OAuth apps target Microsoft 365 accounts

2025/03/16 BleepingComputer — Adobe や DocuSign アプリを装うマルウェアの配信により、Microsoft 365 アカウントの認証情報を盗み出すという、悪質な Microsoft OAuth アプリが、サイバー犯罪者たちにより宣伝されている。このキャンペーンを発見した Proofpoint の研究者たちは、X のスレッド上で “高度に標的を絞った攻撃 ” だと評している。

中国由来の Silk Typhoon の戦術：脆弱性悪用とパスワード・スプレーの採用

China-Linked Silk Typhoon Expands Cyber Attacks to IT Supply Chains for Initial Access

2025/03/05 TheHackerNews — Microsoft Exchange サーバのセキュリティ欠陥を、2021年1月のゼロデイ攻撃で悪用していた中国由来の脅威アクターだが、企業ネットワークへのイニシャル・アクセスの手段を、IT サプライチェーンを標的とする戦術へと転換しているようだ。この情報は、Microsoft Threat Intelligence チームの新たな調査結果によるものであり、いまの Silk Typhoon (旧 Hafnium) ハッキング・グループは、攻撃の足がかりを得るためにリモート管理ツールやクラウド・アプリなどの、IT ソリューションを標的にしているという。

航空／旅行システムの OAuth 認証に脆弱性：数百万人のアカウントに乗っ取りの懸念

OAuth Redirect Flaw in Airline Travel Integration Exposes Millions to Account Hijacking

2025/01/28 TheHackerNews — API セキュリティ企業 Salt Labs が公表したレポートは、ホテルやレンタカーのオンライン予約サービスに存在する、アカウント乗っ取りの脆弱性に関するものだ。なお、この脆弱性は、すでに修正されているという。Salt Labs は、「この欠陥を悪用する攻撃者は、システム内のあらゆるユーザー・アカウントへのアクセス権を獲得し、被害者に成りすまして、さまざまな操作を実行する。具体的には、被害者のマイレッジ・ポイントによるホテルやレンタカーの予約や、予約情報のキャンセルや編集などである」と、The Hacker News に共有したレポートで述べている。

OWASP の Non-Human Identity (NHI) Top-10 とは？隠れたリスクを可視化する

Do We Really Need The OWASP NHI Top 10?

2025/01/27 TheHackerNews — 先日に OWASP (Open Web Application Security Project) は、新たな指針としての Non-Human Identity (NHI) Top-10 に取り組み始めた。長年にわたり OWASP は、広く利用される API Top-10 や Web App Top-10 などのプロジェクトを通じて、セキュリティの専門家と開発者に対して、重要なガイダンスと実用的なフレームワークを提供してきた。Non-Human Identity (NHI) セキュリティは、サイバー・セキュリティ業界で新たな関心を集めている。そこで OWASP は、NHI Top-10 により、API キー／サービス・アカウント／OAuth アプリ／SSH キー／IAM ロール／シークレットなどのマシン認証情報とワークロード ID に関連する、リスクと監視の欠如を指摘している。

“Sign in with Google” に深刻な問題：廃棄されたメアドでクラウドにログインできる？

Google’s “Sign in with Google” Flaw Exposes Millions of Users’ Details

2025/01/14 GBHackers —Google の認証システムである “Sign in with Google” に、重大な欠陥が発見された。この脆弱性の影響が及ぶ数百万人のアメリカ人が、データ窃取の危機に晒されているが、事業から撤退したスタートアップ企業の元従業員が、この欠陥の影響を受けやすいとされている。この欠陥の根本的な原因は、ドメイン所有権の変更に対して、Google OAuth ログインが適切に対応していない点にあると、Truffle Security は指摘する。

MDM と OSS：多種多様なプラットフォームとデバイスのための osquery とは？

How open-source MDM solutions simplify cross-platform device management

2024/11/01 HelpNetSecurity — 先日に Help Net Security が公開した、Fleet の CEO である Mike McNeil へのインタビューは、管理されていないモバイル・デバイスがもたらすセキュリティ・リスクについて警告するものだ。それに加えて、モバイル・デバイス管理 (MDM：Mobile Device Management) ソリューションにより、それらのリスクに対処する方法も述べている。さらに、彼が語っているのは、MDM に対する従業員の抵抗感／オープンソースの透明性が信頼を構築する方法／遠隔地のデバイス管理に関する洞察／MDM テクノロジーの今後の展望などである。

Google Cloud の ID 管理：デフォルト・サービス・アカウントの使用は危険

Researcher Exposes Critical Vulnerabilities in Google Cloud

2024/10/30 SecurityOnline — 先日に公表された、DATADOG の著名なクラウドセキュリティー研究者 Christophe Tafani-Dereeper の詳細な分析が示すのは、Google Cloud のデフォルト・サービス・アカウント内の深刻な脆弱性により、クラウド環境が危険に直面している状況である。Tafani-Dereeper の調査結果は、誤って過度に設定／提供されたアクセスを、それらのアカウントが極めて容易に許可することで、クラウド・リソースを悪用する攻撃者に道を開くと指摘するものだ。

OAuth と XSS のコンボ攻撃：数百万人の Web ユーザーをアカウント乗っ取りで脅かす

OAuth+XSS Attack Threatens Millions of Web Users With Account Takeover

2024/07/29 DarkReading — Web ユーザーの行動を追跡／記録するサービスの Hotjar と、人気のニュース・サイト Business Insider の API に、重大なセキュリティ欠陥が存在することが判明した。最新の認証規格が悪用され、長年の脆弱性が復活させられたことで、数百万人のユーザーがアカウント乗っ取りの危険にさらされている。API のセキュリティ会社である Salt Security の Salt Labs が、7月29日に公開したブログによると、認証規格の OAuth と、２つのサイトの XSS (cross-site scripting) の欠陥を組み合わせることで、攻撃者は機密データの窃取が可能になり、100万以上の Web サイトの正規ユーザーを装う悪質な活動の可能性が生じているという。

Passkeys によるパスワードレス：未来を確信する理由について説明しよう – Stytch

From passwords to passkeys: Enhancing security and user satisfaction

2024/06/20 HelpNetSecurity — この Help Net Securityのインタビューでは、Stytch CTO の Julianna Lamb がパスワードレス認証の利点について語っている。つまり、パスワードをなくすことでデータ漏洩を減らし、ログイン・プロセスを簡素化することでユーザー・エクスペリエンス (UX：User eXperience) を向上させる。さらに Julianna Lamb は、Passkeys のようなパスワードレス認証方法の、技術的な課題と経済的な意味についても触れている。

GitHub のノーティフィケーションを介したフィッシング：悪意の oAuth アプリ・プッシュには要注意

Gitloker attacks abuse GitHub notifications to push malicious oAuth apps

2024/06/10 BleepingComputer — フィッシング攻撃を介して GitHub のセキュリティ／リクルート・チームになりすまし、悪意の OAuth アプリを用いてリポジトリを乗っ取り、侵害したリポジトリを消去すると脅すキャンペーンが現在進行中だという。遅くとも 2024年2月以降において、このキャンペーンで標的とされた数十人の開発者が、侵害された GitHub アカウントを用いて、ランダムなリポジトリの課題や、プルリクエストに追加されたスパム・コメントにタグ付けされた後に、”notifications@github.com” から偽の求人や警告のメールを受け取っているようだ。

Dropbox Sign のデータ侵害：ユーザー情報への不正アクセスが発生

Dropbox Discloses Breach of Digital Signature Service Affecting All Users

2024/05/02 TheHackerNews — 4月24日に Dropbox が明らかにしたのは、Dropbox Sign (旧 HelloSign) が正体不明の脅威アクターにより侵害され、電子署名製品の全ユーザーに関連するＥメール／ユーザー名／一般的なアカウント設定などが不正アクセスを受けたことだ。同社は、米国証券取引委員会 (SEC) に提出した書類の中で、4月24日に不正アクセスに気づいたと述べている。なお、Dropbox は、2019年1月に HelloSign の買収計画を発表していた。

GitLab の深刻な脆弱性が FIX：アカウントの乗っ取りにいたる可能性も

Urgent GitLab Update Patches Account Takeover Flaw, Other High-Severity Bugs

2024/04/24 SecurityOnline — 先日の GitLab セキュリティ・リリースで対処されたのは、広範なコード・リポジトリや開発ワークフローに影響を及ぼす可能性のある一連の脆弱性である。それらの脆弱性の悪用に成功した攻撃者は、リソース消耗によりサービス拒否から、完全なアカウント乗っ取りに至るまでの、さまざまな攻撃を引き起こす可能性を持つ。GitLab を利用している組織にとって、バージョン 16.11.1／16.10.4／16.9.6 へのアップグレードは必須である。

2023年の GitHub：全体で 1200万件のシークレットが漏えいしてしまった

Over 12 million auth secrets and keys leaked on GitHub in 2023

2024/03/11 BleepingComputer — 2023年に GitHub ユーザーが、誤って公開してしまった認証や機密のシークレットは 1280万件に達し、それらは 300万以上の公開リポジトリ上に存在している。GitGuardian のサイバー・セキュリティ専門家たちによると、シークレットを暴露してしまった人々に　180万通の無料メール・アラートを送ったが、連絡を受けた人たちのうち、誤りを修正するために迅速に行動したのは、僅か 1.8% に過ぎなかったという。

Microsoft が公表した防御のガイダンス：Midnight Blizzard の狡猾な戦術を封じる

Microsoft Provides Defense Guidance After Nation-State Compromise

2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium／APT29／Cozy Bear) による、ネットワーク上での悪質な活動を検知した。

Microsoft 幹部の Exchange を侵害したロシアの Midnight Blizzard：手口の詳細を解説

Microsoft reveals how hackers breached its Exchange Online accounts

2024/01/26 BleepingComputer — 2023年11月に Microsoft 幹部の電子メール・アカウントに侵入した、ロシア政府 Foreign Intelligence Service (SVR) のハッキング・グループが、悪意のキャンペーンの一環として他の組織にも侵入したことが確認された。Midnight Blizzard (別名 Nobelium／APT29) は、ロシアの SVR 傘下のサイバー・スパイ集団と考えられており、主に米国／欧州の政府組織／NGO／ソフトウェア開発者／IT サービス・プロバイダーを標的としている。

GKE ミスコンフィグと脆弱性： 250,000 もの Kubernetes クラスタに影響

Google Kubernetes Misconfig Lets Any Gmail Account Control Your Clusters

2024/01/24 TheHackerNews — Google Kubernetes Engine (GKE) に影響を与える脆弱性が、ybersecurity の研究者たちにより発見された。この脆弱性は、クラウド・セキュリティ企業 Orca によりコードネーム Sys:All と命名されており、現存する 250,000 ものアクティブな GKE クラスタに影響を与える可能性があると推定される。

Google API を介したトークン窃取：OAuth MultiLogin 問題は軽視されている？

Google: Malware abusing API is standard token theft, not an API issue

2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する２つの情報窃盗マルウェア・オペレーション Lumma／Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。

OAuth エンドポイント MultiLogin：Google 認証クッキー復元の PoC もリリース

Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts

2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。

OAuth アプリに関する Microsoft の警告：侵害されたアカウントで悪意のアプリを作成

Microsoft: OAuth apps used to automate BEC and cryptomining attacks

2023/12/12 BleepingComputer — Microsoft の警告は、金銭目的の攻撃者が OAuth アプリケーションを使用して、BEC 攻撃やフィッシング攻撃を自動化し、スパムをプッシュし、クリプト・マイニング用の VM を展開しているというものだ。OAuth (Open Authorization の略) とは、資格情報の代わりにトークンベースの認証と認可を介して、ユーザー定義のアクセス許可に基づいた、サーバ・リソースへの安全な委任アクセスを、アプリ対して許可するためのオープン・スタンダードである。

Web ブラウザ・エクステンションの問題：その半数以上が高リスクであるという調査結果

More Than Half of Browser Extensions Pose Security Risks

2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。

Microsoft Azure AD の OAuth に深刻な問題：認証の目的での “email” クレーム使用は不可

Researchers Flag Account Takeover Flaw in Microsoft Azure AD OAuth Apps

2023/05/20 SecurityWeek — セキュリティ分野のスタートアップ Descope の研究者たちは、Microsoft Azure AD OAuth アプリケーションに存在する深刻なミスコンフィグレーションを発見し、”Log in with Microsoft” を使用している組織においては、アカウント乗っ取りの可能性が生じていると警告を発した。このセキュリティ上の欠陥は nOAuth と呼ばれ、Microsoft Azure AD のマルチ・テナント OAuth アプリケーションに影響を及ぼす、認証実装の欠陥だと説明されている。

API セキュリティの強化：そのための管理体制とベストプラクティスとは？

How to Improve Your API Security Posture

2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信／共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。

OAuth の深刻な脆弱性が FIX：Expo Framework を介したアカウント乗っ取りの可能性

OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers

2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。

Google Cloud Platform の脆弱性 GhostToken：悪意のアプリをスティルス化

GhostToken Flaw Could Let Attackers Hide Malicious Apps in Google Cloud Platform

2023/04/21 TheHackerNews — サイバー・セキュリティ研究者が、Google Cloud Platform (GCP) のゼロデイ欠陥 (パッチ適用済み) の詳細を明らかにした。この欠陥は、企業向けの Workspace アカウントを含む、すべての Google アカウントに影響を及ぼすものであり、イスラエルのサイバー・セキュリティ企業 Astrix Security により GhostToken と名付けられた。同社により、2022年6月19日に発見され、すでに Google に報告されている。そして、９ヶ月が経過した 2023年4月7日に、Google はグローバル・パッチを展開した。

Microsoft Cloud の脆弱性：Bing 検索のハイジャック／Office 365 でデータ流出の可能性

Microsoft Cloud Vulnerability Led to Bing Search Hijacking, Exposure of Office 365 Data

2023/03/30 SecurityWeek — サイバー・セキュリティ企業の Wiz によると、Azure Active Directory (AAD) のミスコンフィグレーションにより、アプリケーションが不正アクセスにさらされ、Bing.com が乗っ取られる可能性もあったという。Microsoft AAD は、クラウドベースの IAM (Identity and Access Management) サービスであり、一般的には Azure App Services／Azure Functions アプリケーションの認証メカニズムとして使用される。このサービスは、マルチテナントを含む各種のアカウント・アクセスをサポートしており、適切な制限がない限り、任意の Azure テナントに属するユーザーが、自分自身の OAuth トークンを発行できるようになっている。

Booking.com の OAuth 実装に脆弱性：Facebook アカウントを用いたログインに影響

API Security Flaw Found in Booking.com Allowed Full Account Takeover

2023/03/02 InfoSecurity — オンライン旅行会社 Booking.com が使用しているソーシャル・ログイン機能 Open Authorization (OAuth) の実装に、複数のセキュリティ上の欠陥があることが判明した。Salt Security が発見した脆弱性は、Facebook アカウントを用いて同サイトにログインしているユーザーに、影響が生じる可能性があるというものだ。

OAuth を悪用する偽アプリ攻撃： Office 365 アカウントへの不正アクセスが発生

Attackers used malicious “verified” OAuth apps to infiltrate organizations’ O365 email accounts

2023/01/31 HelpNetSecurity — ”Publisher identity verified” マークを取得したサードパーティ製 OAuth アプリが、英国／アイルランドの組織を標的とする、未知の攻撃者に利用されていることを、Microsoft が明らかにした。この攻撃は、2022年12月初旬に Proofpoint の研究者が発見したものであり、SSO／Zoom になりすました３つの不正なアプリが関与しているという。この手口に騙されたターゲット組織は、一連の不正アプリにより O365 メールアカウントにアクセスされ、組織のクラウド環境への侵入を許してしまった。

CircleCI のデータ侵害：セッションクッキーが窃取され 2FA が突破された

Malware Attack on CircleCI Engineer’s Laptop Leads to Recent Security Incident

2023/01/14 TheHackerNews — 2023年1月13日に DevOps プラットフォームの CircleCI が明らかにしたのは、昨年12月に未知の脅威アクターが従業員のラップトップを侵害し、マルウェアを用いて２FA 認証に裏付けられた認証情報を盗み出し、同社システムに侵入しデータを侵害したことだ。CI/CD サービスの CircleCI によると、この高度な攻撃は、2022年12月16日に行われ、そこで用いられたマルウェアを、同社のウイルス対策ソフトウェアは検出できなかったとのことだ。

GitHub の 2FA 義務化：2023/03〜2023/12 で全ユーザーに対応

GitHub to require all users to enable 2FA by the end of 2023

2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。

Microsoft Exchange Server の侵害と乗っ取り：OAuth を悪用してスパムメールを配信

Cyberattackers Compromise Microsoft Exchange Servers via Malicious OAuth Apps

2022/09/24 DarkReading — Microsoft Exchange Server を乗っ取り、スパムの拡散を目的とする攻撃者たちが、侵害したクラウド・テナントに、悪意の OAuth アプリケーションを展開している。今週の Microsoft 365 Defender Research Team の発表では、多要素認証 (MFA) が無効な高リスクのアカウントに対して、クレデンシャル・スタッフィング攻撃が行われた後に、安全ではない管理者アカウントを利用した、イニシャル・アクセス獲得の様子が詳述されている。

CircleCI で進行するフィッシング：GitHub のアカウント認証情報と 2FA コードを盗み出す

Hackers stealing GitHub accounts using fake CircleCI notifications

2022/09/22 BleepingComputer — GitHub は、9月16日に始まったフィッシング・キャンペーンが活発に進行していることについて、注意を呼びかけている。具体的に言うと、継続的なインテグレーションとデリバリーのプラットフォームである、CircleCI になりすましたメールがユーザーを狙っているという。この偽メッセージは、「ユーザー規約とプライバシー・ポリシーが変更されたことをユーザー知らせ、GitHub アカウントにサインインして変更を受け入れ、サービスを使い続ける必要がある」と述べている。

Microsoft Exchange Online のベーシック認証が終了：10月1日から無効化が始まる

Microsoft will disable Exchange Online basic auth next month

2022/09/01 BleepingComputer — 本日、2022年10月1日から Microsoft は、Exchange Online のセキュリティ向上を目的として、世界中のテナントからベーシック認証を、順次無効にしていくことを顧客に通知した。今日の発表は、最初に発表された 2019年9月以降の３年間において、同社から繰り返して行われてきた、注意喚起と警告に続くものである。

CISA 勧告と Exchange Online：10月までに Basic 認証から Modern 認証へ切り替えよ

CISA warns orgs to switch to Exchange Online Modern Auth until October

2022/06/29 BleepingComputer — CISA は政府機関／民間企業に対して、クラウドメール・プラットフォームである Microsoft Exchange を、ベーシック認証からモダン認証 (MFA) へと早急に切り替えるよう促している。ベーシック認証 (プロキシ認証) は、アプリがサーバー／エンドポイント／オンラインサービスに認証情報を平文で送信する、HTTP ベースの認証スキームである。

GitHub の OAuth 問題：追跡調査により 100K 件分の npm ログイン情報の窃取が判明

GitHub: Attackers stole login details of 100K npm user accounts

2022/05/27 BleepingComputer — GitHub が明らかにしたのは、４月中旬に発生したセキュリティ侵害において、Heroku と Travis-CI に発行された OAuth アプリ・トークンを悪用した攻撃者により、約10万件の npm アカウントのログイン情報が盗み出されたという状況である。この脅威アクターは、数十の組織が所有するプライベート・リポジトリからの侵入と、データの窃取に成功したという。

Google の OAuth Client Library for Java における深刻な脆弱性 CVE-2021-22573 が FIX

High-Severity Bug Reported in Google’s OAuth Client Library for Java

2022/05/19 TheHackerNews — 2022年4月に Google は、Java 用 OAuth クライアント・ライブラリに存在する深刻度の高い脆弱性に対処した。この欠陥は、漏洩したトークンを用いる脅威アクターに対して、任意のペイロード展開を許す可能性があるというものだ。この脆弱性 CVE-2021-22573 の深刻度は CVSS 値 8.7 と評価され、暗号署名の不適切な検証に起因し、ライブラリの認証バイパスにいたる恐れがある。

Heroku が語る先日の GitHub 攻撃：盗まれた OAuth トークンについて

Heroku Shares Details on Recent GitHub Attack

2022/05/06 SecurityWeek — 今週に Platform-as-a-Service 企業の Heroku は、複数の顧客の GitHub リポジトリに不正アクセスをもたらした、４月のサイバー攻撃に関する追加情報を公開した。この、2022年4月中旬に公開されたインシデントは、Heroku と Travis CI に対して発行された OAuth トークンが盗まれ、この CI (Continuous Integration) システムを使用している組織のリポジトリに、攻撃者がアクセス可能になったというものである。

GitHub で発生した OAuth トークンの悪用：高度な標的型の性質があるという

GitHub Says Recent Attack Involving Stolen OAuth Tokens Was “Highly Targeted”

2022/05/02 TheHackerNews — クラウドベースのコード・ホスティング・プラットフォーム GitHub は、Heroku と Travis-CI に対して発行された OAuth アクセス・トークンの悪用などを含む、最近の攻撃キャンペーンについて高度な標的型の性質があると説明している。GitHub の Mike Hanley は、「この行動パターンは、攻撃者がプライベート・リポジトリのリストアップとダウンロードのために、選択したターゲットのアカウントを特定するために、対象となる組織をリストアップしていたことが示唆される」と述べている。

GitHub でプライベート・リポジトリ侵害：盗み出された OAuth Access Token が原因

GitHub Says Hackers Breached Dozens of Organizations Using Stolen OAuth Access Tokens

2022/04/15 TheHackerNews — 金曜日に GitHub は、未知の敵対者が盗み出した OAuth ユーザー・トークンの悪用により、複数の組織から個人データが不正にダウンロードされた証拠を発見したと表明した。GitHub の Mike Hanley は、「この攻撃者は、Heroku と Travis-CI という２つのサードパーティ OAuth インテグレータから発行された、OAuth ユーザー・トークンを悪用し、NPM を含む数十の組織からデータをダウンロードした」とレポートで明らかにしている。

GitLab に深刻なアカウント乗っ取りの脆弱性：管理者に推奨される対策とは？

Critical GitLab vulnerability lets attackers take over accounts

2022/04/01 BleepingComputer — GitLab は、ハードコードされたパスワードを使用するリモートの攻撃者に、ユーザー・アカウントの乗っ取りを許してしまう、深刻な脆弱性に対処した。この脆弱性 CVE-2022-1162 は、GitLab Community Edition (CE) と Enterprise Edition (EE) の双方に影響をおよぼす。具体的に言うと、GitLab CE/EE で OmniAuth ベースで登録を行う際の、誤って設定された静的なパスワードに起因している。

OAuth の欠陥とフィッシング：Microsoft／Google／PayPal もリダイレクトの対象だ

Microsoft, Google OAuth flaws can be abused in phishing attacks

2021/12/09 BleepingComputer — 研究者たちが発見したのは、脆弱な OAuth 2.0 実装に対して URL リダイレクト攻撃を仕掛けるという、これまで知られていなかった一連の手法である。これらの攻撃により、フィッシグ検知やメール・セキュリティの回避が生じると同時に、フィッシング URL が正当であるかのような錯覚により、被害者を増やすことにつながる。Proofpoint が検出したキャンペーンは、Outlook Web Access／PayPal／Microsoft 365／Google Workspace を対象としている。

Microsoft Exchange Autodiscover のバグにより 10万件の Windows 認証情報が流出

Microsoft Exchange Autodiscover bugs leak 100K Windows credentials

2021/09/22 BleepingComputer — Microsoft Exchange の Autodiscover 機能実装におけるバグにより、世界中の Windows ドメインの約10万件のログイン名／パスワードが流出した。Guardicore の AVP of Security Research である Amit Serper のレポートによると、Microsoft Exchange のバグではなく、Autodiscover プロトコルの誤った実装が原因であり、Windows の認証情報が信頼できない第三者の Web サイトに送信されていることが明らかになったとのことだ。

Ford における顧客データの流出と対応：これじゃ研究者が可哀相

Ford bug exposed customer and employee records from internal systems

2021/08/15 BleepingComputer — Ford Motor Company の Web サイトのバグにより、機密システムへのアクセスが可能となり、顧客データベースや、従業員記録、社内チケットなどの、プロプライエタリ・データを窃取された。このデータ流出は、Ford のサーバー上で稼働している、顧客エンゲージメント・システム Pega Infinity のインスタンスが、誤って設定されていたことに起因している。