セキュリティベンダーのESETは、Microsoft 365を標的とするPhaaS「EvilTokens」に関する情報を公式ブログ「WeLiveSecurity」で公開した。本稿は、Microsoftの正規認証機能を悪用する仕組みや対策を紹介する。
フィッシング攻撃と聞くと、多くの人は「偽のログイン画面でIDやパスワードを入力させる手口」を思い浮かべる。しかし、そうした常識が通用しない新たな攻撃が確認されている。
セキュリティベンダーのESETは2026年6月15日、同社の公式ブログ「WeLiveSecurity」で、Microsoft 365を標的としたPhaaS(Phishing as a Service:サービスとして提供されるフィッシングツール)「EvilTokens」に関する情報を公開した。
EvilTokensは、Microsoftの正規認証機能を悪用してアカウントを乗っ取る。その最大の特徴は、パスワードを盗まないことだ。
ユーザーは本物のMicrosoft認証ページでログインし、多要素認証(MFA)まで完了する。しかし、その認証は自分の端末ではなく、攻撃者のセッションを承認するために使われている。このため、従来の「偽サイトを見分ける」「URLを確認する」といった対策だけでは防ぎにくい。本稿は、Microsoftの正規認証機能を悪用する仕組みを紹介する。
EvilTokensが悪用するのは、認証プロトコル「OAuth 2.0」の「Device Authorization Grant」(デバイスコード認証フロー)だ。
本来、この仕組みはスマートテレビやプリンタなど、キーボード入力が難しい機器向けに設計されたものだ。利用者は別の端末からMicrosoftの認証ページへアクセスし、表示された短いコードを入力して認証を完了させる。するとMicrosoftは、その機器へアクセストークンを発行する。
EvilTokensは、この仕組みを逆手に取るものだ。
攻撃者はまず、自身のセッション用のデバイスコードをMicrosoftから取得する。その後、請求書や共有ドキュメント、カレンダー招待、SharePointアクセス要求などを装ったメールを送り、「内容を確認するには認証してください」とユーザーを誘導する。
ユーザーがリンクをクリックすると、画面にはMicrosoftへのログインを促す案内とデバイスコードが表示される。ここで重要なのは、そのコードは攻撃者側のセッションに対応しているという点である。
ユーザーは本物のMicrosoftサイトでログインし、MFAも完了する。しかし、その結果としてMicrosoftが発行するアクセストークンは攻撃者側へ渡るため、攻撃者は正規ユーザーとしてMicrosoft 365環境へアクセスできる。
近年、多くの企業はパスワード漏えい対策としてMFAを導入している。しかし、EvilTokensではMFAそのものを突破している訳ではない。
攻撃者は技術的にMFAを無効化するのではなく、利用者自身に攻撃者のセッションを承認させているのである。
そのため、以下の状態になる。
従来のフィッシング対策教育では、「URLを確認する」「スペルミスを探す」「偽サイトに注意する」といった内容が中心だった。しかしEvilTokensでは、ログイン画面そのものが本物であるため、これらの確認だけでは十分ではない。
攻撃者がアクセストークンを取得すると、企業のMicrosoft 365環境へアクセスできる可能性がある。
さらに、取得した情報を利用して取引先とのメールを悪用するBEC(ビジネスメール詐欺)や、機密情報の窃取、社内でのさらなる侵害活動につながる恐れがある。
特に経理、人事、物流、営業部門のアカウントは、送金指示や契約情報などを扱うことから、攻撃対象になりやすいと考えられる。
EvilTokensへの対策では、「リンクを確認する」だけでは不十分だ。認証そのものの文脈を確認する運用が重要になる。
請求書や文書閲覧のためにデバイスコード入力を求められるという挙動は通常みられないものだ。予期しない要求は不審なものとして扱う。
本物のMicrosoftページだから安全とは限らない。どのアプリケーションに対する認証なのか、自分自身が開始した操作なのかを確認する必要がある。
企業側では、利用実態がない場合はデバイスコード認証フロー自体を制限・無効化し、必要な利用者や端末のみに限定することが望ましい。
見慣れない端末からのアクセス、不審なデバイスコード認証、新しい受信トレイルールの作成、不自然なトークン利用などは侵害の兆候となる可能性がある。
「偽サイトにパスワードを入力してはいけない」という従来型の教育だけでは十分ではない。現代のフィッシングでは、本物のサイトで本物の認証を実施させ、その結果を攻撃者が悪用するケースが存在することを従業員に周知する必要がある。
EvilTokensは、認証情報を盗むのではなく、利用者自身に攻撃者の認証を成立させてもらう攻撃だ。「Microsoftの正規ページだから安心」「MFAを導入しているから安全」という従来の前提が崩れつつあるということが分かる。
情シスに求められるのは、URLや画面の真偽だけでなく、「その認証は誰のために行われているのか」という視点で認証プロセス全体を管理・教育することとなる。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
