マイクロソフト、「同意フィッシング攻撃」への警戒呼びかけ

今回は「マイクロソフト、「同意フィッシング攻撃」への警戒呼びかけ」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは、「Office 365」の顧客に対して同意フィッシング(Consent Phishing)攻撃が行われていると警告を発している。この攻撃は、受信者をだまして不正なアプリにOAuthの権限を与えるよう仕向けるフィッシングメールが送られ、攻撃者が電子メールの読み書きをできるようにするものだ。

 Microsoftのセキュリティインテリジェンスチームは、「数百」におよぶ組織を標的とした攻撃を確認しており、Office 365の顧客にOAuthフィッシングメールが送られていることを明らかにした。

 同チームによれば、この悪意のある可能性があるアプリは「Upgrade」という名称で、ユーザーにOAuth権限の付与を求めてくるという。これによって、攻撃者が受信箱のルール作成、電子メールやカレンダー項目の読み書き、連絡先の読み取りなどを行えるようになる恐れがある。

 この攻撃の標的になると、アプリにファイルの読み書きやカレンダーの読み取りなどの権限を与えるよう求める通知が表示される可能性がある。

 OAuth標準は、Google、Twitter、Facebook、Microsoftなどをはじめとするクラウド事業者やID事業者でサポートされており、ユーザーがサードパーティーのアプリに、これらの企業のアプリ内のアカウント情報やデータの読み取りを許可する手段として利用されている。

 OAuthはこれまでにも悪用されたことがあり、GoogleはOAuthを使用してGoogleアプリに接続する開発者に対して、より厳格な検証要件を導入せざるを得なかった。

 Microsoftは、ツイートで「フィッシング攻撃のメッセージは、ユーザーをだましてアプリに権限を付与させるように仕向け、攻撃者が、受信箱のルール作成や、電子メールやカレンダー項目の読み書き、連絡先の読み取りを行えるようにしようとする内容になっている。Microsoftは、Azure Active Directory(Azure AD)でこのアプリを無効にし、影響を受ける顧客に通知している」と述べている。

 このOAuthフィッシング攻撃に関する情報をMicrosoftに提供したのは、脅威ハンターのTwitterユーザーである@ffforward氏だ。@ffforward氏によれば、この「Upgrade」と名付けられたアプリは、「Counseling Services Yuma PC」と呼ばれる確認済み発行者が作成したものとして公開されていた。以前も同じアプリがOffice 365ユーザーに提供されていたが、その時には発行者のアカウントが未確認の状態だったという。

 Microsoftは最近、ブログ記事で、OAuth権限のリクエストを悪用した同意フィッシング(「不正な同意付与」とも呼ばれる)メールがこの数年で着実に増加していることを明らかにしている。

 同意フィッシング攻撃は、認証情報を盗もうとする一般的なフィッシング攻撃とは手口が異なる。偽のログインページでパスワードを盗もうとする通常のフィッシング攻撃とは違い、OAuth権限のリクエスト画面を利用して、接続されたアプリにアカウントのデータを読み取る許可を与えるアクセストークンを付与させるよう被害者を誘導する。この仕組みでは、サインインの処理は、エンドユーザーではなくMicrosoftやGoogleなどのIDプロバイダーが行うことになる。

 Microsoftは、「多くの場合、同意フィッシング攻撃ではパスワードが盗まれることはない。これは、アクセストークンを使用した場合、攻撃者はユーザーのパスワードを知らなくても、機密密情報やその他の取り扱いに注意を要する情報を盗むことができるためだ。攻撃者は、その後も標的となった組織への永続的なアクセスを維持することが可能で、さらにネットワークを侵害するための情報収集が行われる可能性もある」と説明している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
FirebaseのバックエンドをGoogle Cloud SQLと接続「Firebase Data Connect」発表。AI用のベクトルサーチも可能に
BaaS
2024-05-17 11:19
Wi-Fiだけはなく、トータルネットワークを提供–HPE Aruba Networkingが事業戦略
IT関連
2023-05-30 20:48
レッドチームによる検証事例からCISAが推奨する3つのアクション
IT関連
2023-03-15 00:11
イトーキ、オンラインストアでARによる家具の試し置きを可能に
IT関連
2022-09-03 17:25
HyperCardの思い出 ゲームスタック作家だったあの頃 (1/3 ページ)
アプリ・Web
2021-03-20 21:36
ソニー、100台のaiboを医療機関に無償提供 患者のストレス軽減を支援
ロボット・AI
2021-02-09 02:35
研究以外の業務で疲弊する日本の研究業界の効率化を図るバイオインフォマティクス解析「ANCAT」が4000万円調達
バイオテック
2021-04-16 20:36
IT部門が抱えるSaaS管理の課題を解決–「SaaSポートフォリオ最適化プロジェクト」の手法とは(前編)
IT関連
2023-06-29 02:39
NEC、ローカル5G用のUPF/MEC統合機器を発売–低遅延用途に対応
IT関連
2022-12-24 14:19
「Angular 12」正式リリース。Webpack 5正式サポート、IE11のサポートが非推奨、Strictモードがデフォルトに、「Ivy」レンダリングエンジンへの移行が事実上完了など
Angular
2021-05-14 12:03
モスバーガー、全国300店舗のPC運用を見直し–コスト最適化へ
IT関連
2025-04-05 05:31
日本企業の脆弱性管理に苦言を呈するテナブル日本代表の危機感とは
IT関連
2022-02-05 18:38
シスコ新社長が語った「シスコでないとできないこと」とは何か
IT関連
2024-02-03 08:34
Go 1.21リリース、WASI(WebAssembly System Interface)サポート、実行時プロファイルでコンパイル最適化
Go
2023-10-05 12:22