ロシア関連ハッカー、Microsoft 365の「デバイスコード認証」を悪用した乗っ取り攻撃を展開

ロシアと関係があるとみられる脅威アクターが、Microsoft 365の正規機能である「デバイスコード認証」を悪用したフィッシング攻撃を実施し、アカウント乗っ取りを行っていると報告されています。この手口では、正規のMicrosoftログインページが使われるため、不審点に気付きにくい点が特徴です。政府機関や研究機関を中心に被害が確認されており、クラウド利用環境における新たなリスクとして注意が必要です。
The Hacker News：Russia-Linked Hackers Use Microsoft 365 Device Code Phishing for Account Takeovers

この記事のポイント

影響のあるシステム

• Microsoft 365（Exchange Online、OneDrive、Teams など）
• デバイスコード認証フローが有効なAzure AD（Microsoft Entra ID）環境
• 政府機関、シンクタンク、高等教育機関、輸送関連組織

推奨される対策

• 条件付きアクセスでデバイスコード認証を原則無効化する
• デバイスコード認証を利用する場合は許可制（Allow-list）で制限する
• 不審な面談依頼や資料共有を装ったメールに注意する
• Microsoft 365のサインインログを定期的に確認する

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

デバイスコード認証を悪用した攻撃の流れ

報告によると、攻撃者はまず侵害済みの政府機関や軍関連組織のメールアドレスを利用し、標的に対して一見すると無害な連絡を行います。専門分野に関する意見交換や架空の会議、インタビューを持ちかけることで信頼関係を構築し、その後、事前資料として文書リンクを共有します。リンク先は正規のOneDriveを模倣したページで、被害者にコードをコピーして「次へ」を押すよう誘導します。最終的には、正規のMicrosoftデバイスコードログインページに遷移し、入力されたコードを攻撃者が回収することで、アクセストークンが発行され、アカウントが不正に掌握される仕組みとされています。

攻撃者の背景と継続する脅威動向

この活動は、Proofpointによって「UNK_AcademicFlare」として追跡されており、ロシア関連の専門家やウクライナの政府・エネルギー分野が狙われている点から、ロシアと関係する脅威アクターの可能性が高いと評価されています。デバイスコードフィッシング自体は2025年初頭から複数の調査機関によって指摘されており、APT29など既知のロシア系グループでも利用が確認されています。近年は、給与関連の話題を悪用する金銭目的のグループ（TA2723など）もこの手法を採用しており、高度な技術を持たない攻撃者でも洗練されたフィッシングが可能になっている点が特徴とされています。

国内組織が直ちに確認すべき防御ポイント

日本国内の組織においても、Microsoft 365を業務基盤として利用しているケースは多く、同様の攻撃が波及する可能性があります。特に、デバイスコード認証は管理者が意識しないまま有効になっている場合があり、設定の再確認が重要です。条件付きアクセスを用いて不要な認証フローを遮断することは、比較的実行しやすい有効な対策と考えられます。また、技術的対策に加え、職員や研究者に対して「正規のログイン画面でも油断しない」意識付けを行うことが、被害低減につながるとされています。

参考文献・記事一覧

• The Hacker News

投稿者プロフィール

CyberCrew_

CyberCrew（サイバークルー）は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

最新の投稿

• 2026.01.27Coolifyで11件の重大欠陥が判明、自己ホスト環境に全面的なリスク
• 2026.01.26小さな設定ミスが大きな被害に──ThreatsDayが示す最新セキュリティ動向
• 2026.01.25中国系とされる攻撃グループ、通信事業者を狙いLinuxマルウェアと中継ノードを展開
• News2026.01.24WhatsAppを悪用したワーム型攻撃、ブラジルで銀行情報窃取マルウェアが拡散