サイバー犯罪者が、AdobeやDocuSignを装った悪意のあるMicrosoft OAuthアプリを用い、Microsoft 365のアカウント認証情報を狙う攻撃を展開していることが明らかになった。

この攻撃はProofpointの研究者によって発見され、「高度に標的化された攻撃」であると報告されている。攻撃者はAdobe DriveやAdobe Acrobat、DocuSignを模したOAuthアプリを利用し、ユーザーから「プロフィール」「メール」「openid」といった権限を取得。これにより、ユーザーの個人情報にアクセスし、フィッシング詐欺やマルウェア感染を誘導する手口が確認された。

フィッシングメールの送信元には、侵害された慈善団体や小規模企業のメールアカウントが悪用されており、標的は米国および欧州の政府機関、医療、サプライチェーン、小売業と広範囲に及ぶ。特にRFP(提案依頼書)や契約書に偽装したメールが用いられ、受信者を騙して悪意のあるリンクを開かせる手口が確認されている。

OAuthアプリを承認すると、攻撃者はアカウント情報を悪用し、追加のフィッシング攻撃やマルウェア感染を仕掛けることが可能となる。Proofpointによると、被害者はOAuthアプリの承認後にリダイレクトを繰り返し、最終的にフィッシングフォームやマルウェアのダウンロードページへと誘導されるケースが多いという。

この攻撃手法は過去にも報告されており、OAuthアプリを用いたMicrosoft 365アカウント乗っ取りの手法が依然として有効であることを示している。ユーザーはOAuthアプリの権限要求を慎重に確認し、不審なアプリの承認を避けることが求められる。Microsoft 365の管理者は、サードパーティアプリへのユーザー同意を制限することで、リスクを低減できる。

偽OAuthアプリが狙うMicrosoft 365の脆弱性と攻撃の手法

Microsoft 365は多くの企業や組織にとって不可欠なクラウドサービスであり、攻撃者にとって魅力的な標的である。今回の攻撃では、AdobeやDocuSignを装った悪意のあるOAuthアプリが利用され、正規のアプリに見せかけることでユーザーの警戒をすり抜けている。

この攻撃の特徴は、ユーザーに過度な警戒を抱かせないよう、比較的影響の少ない権限のみを要求する点にある。「プロフィール」「メール」「openid」といったアクセス許可を得ることで、攻撃者はアカウント所有者の基本情報を取得し、より高度な標的型攻撃へとつなげる足がかりを築く。

特に「openid」は、ユーザーの本人確認に関連し、他のサービスとの連携情報を得ることができるため、認証情報を直接盗むことなくアカウントを侵害する可能性がある。

また、フィッシングメールの手口も巧妙化している。慈善団体や小規模企業の侵害されたメールアカウントを利用し、業務関連のRFPや契約書に偽装したメールを送信することで、標的を騙しやすくしている。このような業務に関連する書類は、受信者の注意を引きやすく、開封率が高いことが攻撃者にとって有利に働いている。

Proofpointの報告によれば、OAuthアプリの承認後、被害者は複数のリダイレクトを経てフィッシングページへ誘導される。ここでMicrosoft 365のログイン情報を入力させられるケースや、マルウェアをダウンロードさせるケースが確認されている。この一連の流れが巧妙に設計されていることから、単なる認証情報の窃取にとどまらず、より大規模な攻撃へと発展する可能性がある。

この攻撃手法は過去にも報告されており、OAuthを悪用したMicrosoft 365アカウント乗っ取りのリスクは依然として高い状態にある。企業や組織は、OAuthアプリの利用を厳密に管理し、不審なアプリの承認を防ぐ対策を強化する必要がある。

OAuthを悪用した攻撃が広がる背景と対策の必要性

OAuthは、複数のクラウドサービスを連携させるための仕組みとして広く利用されている。利便性が高い一方で、ユーザーが一度承認したアプリに対して一定の権限を恒久的に与えてしまう特性があるため、悪用された場合のリスクが大きい。攻撃者はこの特性を逆手に取り、正規のアプリになりすますことで、セキュリティ意識の高いユーザーでさえも騙される可能性がある。

今回の攻撃では、Adobe DriveやAdobe Acrobat、DocuSignといったビジネス利用の多いアプリが標的となっており、特に企業や公的機関が狙われている。攻撃者は、OAuthの承認を得ることで、被害者のMicrosoft 365アカウントの情報を取得し、それを足がかりに別の攻撃へとつなげる手法を取っている。

Proofpointの分析によれば、これらの攻撃は単発的なものではなく、継続的に発生している可能性が高い。

OAuthを悪用した攻撃への対策として、企業の管理者はエンタープライズアプリケーションの設定を見直し、ユーザーが第三者アプリに自由に権限を付与できないようにする必要がある。特に、業務上必要のないアプリの使用を制限し、不審なアプリのインストールを監視することが有効な対策となる。

また、ユーザー自身も、OAuthアプリの権限を慎重に確認し、不必要なアクセス要求には応じない姿勢が求められる。

OAuthを利用した攻撃は、フィッシング詐欺やマルウェア感染と組み合わせることで、より大きな被害を生む可能性がある。企業や組織は、OAuthのリスクを正しく理解し、適切な対策を講じることが、今後のセキュリティ対策の鍵となる。

企業と個人が取るべき具体的な対策

OAuthを悪用した攻撃から身を守るためには、企業レベルと個人レベルでの対策が不可欠である。まず、企業においては、Microsoft 365の管理者がOAuthアプリの承認ポリシーを厳格化し、不審なアプリの使用を制限することが重要となる。具体的には、「エンタープライズアプリケーション」設定の「同意と権限」オプションを見直し、ユーザーが勝手に外部アプリを承認できないようにする必要がある。

また、セキュリティ監視を強化し、従業員が承認したOAuthアプリのリストを定期的にチェックすることで、不審なアプリが存在しないか確認することが求められる。特に、AdobeやDocuSignなどの正規アプリになりすましたアプリは発見が難しいため、管理者側での監視体制を整えることが重要だ。

個人レベルでは、OAuthアプリの権限要求を慎重に確認し、不審な要求には応じないことが最も基本的な対策となる。Microsoft 365の「My Apps」ページから、既存の承認済みアプリを見直し、不必要なアプリのアクセス権を取り消すことも有効である。特に、業務で利用しないアプリが「プロフィール」や「メール」へのアクセスを要求している場合、それらの権限を削除することが推奨される。

さらに、多要素認証(MFA)を有効化することで、万が一OAuthアプリを悪用された場合でも、不正アクセスを防ぐ可能性を高めることができる。攻撃者がOAuthアプリを通じて認証情報を窃取したとしても、MFAが設定されていれば、アカウントへの直接的な侵入を防ぐ障壁となる。

OAuthを利用した攻撃は、従来のパスワード窃取とは異なる手法を用いるため、従来のセキュリティ対策だけでは不十分となる可能性がある。企業と個人の双方が、OAuthのリスクを正しく理解し、適切な対策を講じることが、今後のセキュリティ防衛の鍵を握る。

Source:BleepingComputer