AI対応デバイスコードフィッシング攻撃が深刻化

はじめに

Microsoft は、デバイスコードフィッシングの大きな進化を公表し、攻撃者が生成AI、自動化、クラウドホスト型インフラを組み合わせて Microsoft アカウントを大規模に侵害している実態を示しました。セキュリティチームや Microsoft 365 管理者にとって重要なのは、このキャンペーンがパスワードを直接盗むのではなく、正規の認証フローを標的にしているため、従来の対策では検知が難しくなる点です。

このキャンペーンの新しい点

Microsoft Defender Security Research によると、この活動は従来の device code phishing の手口を土台にしつつ、いくつかの重要な進化を加えています。

• AI対応のフィッシングおとり: 攻撃者は生成AIを使い、請求書、RFP、製造ワークフローなど、職務や業務シナリオに結び付いた高度にパーソナライズされたメールを作成しました。
• 動的な device code 生成: 15分で失効する事前生成済みコードに依存するのではなく、ユーザーがフィッシングリンクをクリックした時点でのみ device code が生成されます。
• 自動化されたクラウドインフラ: 脅威アクターは Railway、Vercel、Cloudflare Workers、AWS Lambda などのプラットフォームを使い、短命なインフラとリダイレクトチェーンを展開しました。
• 通常トラフィックに紛れる通信: 信頼されたクラウドサービス経由のリダイレクトにより、単純なブロックリストやレピュテーションベースの防御を回避しやすくなっています。
• 侵害後のトークン悪用: 被害者が device login flow を完了すると、攻撃者はそのトークンを使ってメールの流出、受信トレイルールの作成、Microsoft Graph による偵察を行います。

なぜ異なるのか

従来のフィッシングは通常、認証情報の窃取を狙います。しかし今回は、攻撃者が開始した正規の Microsoft device login セッションを、ユーザーに承認させるよう誘導します。認証は Microsoft の本物の device login ページ上で行われるため、ユーザーが不審に思いにくく、セッションが元のコンテキストに強く結び付けられていない場合は MFA の効果も弱まる可能性があります。

Microsoft はこの傾向を、device code abuse を広げている phishing-as-a-service ツールキット EvilToken にも関連付けています。自動化と AI の活用は、2025年に記録された Storm-2372 キャンペーンからの大きな進化を示しています。

IT管理者への影響

セキュリティチームと ID 管理チームは、次のような状況を想定すべきです。

• 重要ユーザーを狙う、より説得力の高いフィッシングメールの増加
• 正規の OAuth と Microsoft サインインフローの悪用拡大
• パスワード窃取を伴わないトークンベースの侵害
• 悪意ある受信トレイルールや隠れたメール転送による永続化
• Microsoft Graph を使った組織構造に対する偵察

推奨される対応

管理者は Microsoft の緩和策ガイダンスを確認し、次の項目を優先すべきです。

• 不審な device code authentication アクティビティの監視
• 想定外の受信トレイルールやトークンベースのアクセスパターンの調査
• 可能な範囲で Conditional Access とサインインリスクポリシーを強化
• 未承諾の device login プロンプトを不審なものとして扱うようユーザー教育を実施
• 不審なリダイレクト、なりすましドメイン、クラウドホスト型フィッシング基盤のハンティング

この調査結果は、フィッシング対策が、偽のログインページや盗まれたパスワードだけでなく、悪用される正規の認証ワークフローにも対応しなければならないことを改めて示しています。