ロシアと関係があるとみられる脅威アクターが、Microsoft 365の正規機能である「デバイスコード認証」を悪用したフィッシング攻撃を実施し、アカウント乗っ取りを行っていると報告されています。この手口では、正規のMicrosoftログインページが使われるため、不審点に気付きにくい点が特徴です。政府機関や研究機関を中心に被害が確認されており、クラウド利用環境における新たなリスクとして注意が必要です。
The Hacker News:Russia-Linked Hackers Use Microsoft 365 Device Code Phishing for Account Takeovers
この記事のポイント
影響のあるシステム
- Microsoft 365(Exchange Online、OneDrive、Teams など)
- デバイスコード認証フローが有効なAzure AD(Microsoft Entra ID)環境
- 政府機関、シンクタンク、高等教育機関、輸送関連組織
推奨される対策
- 条件付きアクセスでデバイスコード認証を原則無効化する
- デバイスコード認証を利用する場合は許可制(Allow-list)で制限する
- 不審な面談依頼や資料共有を装ったメールに注意する
- Microsoft 365のサインインログを定期的に確認する
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- デバイスコード認証:キーボード入力が難しい端末向けに用意されたMicrosoftの認証方式です。
- Microsoft 365:Microsoftが提供するクラウド型業務サービス群です。
- 条件付きアクセス:ユーザーや状況に応じて認証・アクセスを制御する仕組みです。
- アカウント乗っ取り:不正に取得した認証情報を使って正規ユーザーになりすます行為です。
デバイスコード認証を悪用した攻撃の流れ
報告によると、攻撃者はまず侵害済みの政府機関や軍関連組織のメールアドレスを利用し、標的に対して一見すると無害な連絡を行います。専門分野に関する意見交換や架空の会議、インタビューを持ちかけることで信頼関係を構築し、その後、事前資料として文書リンクを共有します。リンク先は正規のOneDriveを模倣したページで、被害者にコードをコピーして「次へ」を押すよう誘導します。最終的には、正規のMicrosoftデバイスコードログインページに遷移し、入力されたコードを攻撃者が回収することで、アクセストークンが発行され、アカウントが不正に掌握される仕組みとされています。
攻撃者の背景と継続する脅威動向
この活動は、Proofpointによって「UNK_AcademicFlare」として追跡されており、ロシア関連の専門家やウクライナの政府・エネルギー分野が狙われている点から、ロシアと関係する脅威アクターの可能性が高いと評価されています。デバイスコードフィッシング自体は2025年初頭から複数の調査機関によって指摘されており、APT29など既知のロシア系グループでも利用が確認されています。近年は、給与関連の話題を悪用する金銭目的のグループ(TA2723など)もこの手法を採用しており、高度な技術を持たない攻撃者でも洗練されたフィッシングが可能になっている点が特徴とされています。
国内組織が直ちに確認すべき防御ポイント
日本国内の組織においても、Microsoft 365を業務基盤として利用しているケースは多く、同様の攻撃が波及する可能性があります。特に、デバイスコード認証は管理者が意識しないまま有効になっている場合があり、設定の再確認が重要です。条件付きアクセスを用いて不要な認証フローを遮断することは、比較的実行しやすい有効な対策と考えられます。また、技術的対策に加え、職員や研究者に対して「正規のログイン画面でも油断しない」意識付けを行うことが、被害低減につながるとされています。
参考文献・記事一覧
投稿者プロフィール
-
CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
■ 情報セキュリティサービス台帳登録事業者
■ セキュリティコンテスト受賞歴
Hack The Box Business CTF 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10
■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester(Level 3)
最新の投稿
2026.04.29Apache ActiveMQに重大脆弱性、実環境で悪用確認—即時アップデートが必要- News2026.04.28Vercelがセキュリティインシデントを公表、一部環境変数と顧客認証情報に影響の可能性
- 2026.04.25Microsoft 365を狙う大規模フィッシング基盤「W3LL Store」が摘発
- 2026.04.24米CISAがKEV更新、企業ネットワークに影響する重要脆弱性へ緊急対応要請
