MS、「OAuth」を悪用した不正アプリによる「同意フィッシング」に警鐘

今回は「MS、「OAuth」を悪用した不正アプリによる「同意フィッシング」に警鐘」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間1月31日、「マイクロソフトクラウドパートナープログラム」(MCCP、旧称MPN)の不正なアカウントを用いたフィッシングキャンペーンについてMicrosoft Security Response Center(MSRC)で警鐘を鳴らした。このフィッシング攻撃は、偽のアプリによって標的をだまし、電子メールアカウントにアクセスするための権限を付与させるものだという。

 サイバーセキュリティ企業Proofpointによると、攻撃者らは不正に取得したMCCPアカウントを用いて、「Single Sign On」(SSO)や「Meeting」といった、一見まともな名前を有し、「Zoom」の古いアイコンや、Zoomに似たURLなどを使って説得力のある不正なアプリを登録するという。

 攻撃者らはまず、正規の企業になりすまして、MCCPに参加した後でそのアカウントを用いて、「Azure Active Directory」(Azure AD)内に作成したOAuthアプリ登録に確認済みの発行者を追加する。

 Microsoftは、この攻撃を「同意フィッシング攻撃」と分類している。その理由は、攻撃者が不正なアプリと、Azure ADベースのOAuthの同意プロンプトを用いて標的をだまし、電子メールや連絡先などにアクセスする権限を不正なアプリに付与させようとするためだ。また、こうした権限は1年にわたって維持される可能性もある。さらに、発行者のステータスが確認済みになっているため、発行者の表示名の横に、Microsoftが当該アプリの発行者を確認したことを示す青い「確認済み」バッジも表示される。

 同社はブログに、このフィッシングキャンペーンの標的は「主に、英国とアイルランドに拠点を置く一部の顧客」であり、これら不正なアプリを無効化した上で、影響を受けた顧客に通知したという。

 「Office 365」の顧客を標的にし、類似のテクニックを用いた同意フィッシング攻撃のインシデントは近年徐々に増加してきているという。被害者が一度権限の付与を許可してしまうと、攻撃者はOAuthのアクセス権限付与情報を含んだトークンを使うことで、標的となったアカウントのパスワードを使わずに機密データにアクセスできるようになる。Microsoftは最近、この攻撃手法に関するドキュメントを更新した。

 Proofpointは2022年12月6日、サードパーティーによる悪意あるOAuthアプリを発見し、20日にMicrosoftへ通知した。Proofpointによると、このフィッシングキャンペーンは27日に終了したという。また、Microsoftは15日にこの同意フィッシングキャンペーンを検知していた。

 Proofpointは、悪意を有するアプリがユーザーになり代わって、侵害したユーザーアカウントに関連付けられているメールボックス内のリソースや、カレンダー、ミーティングの招待にアクセスできるようになるという点で、OAuthの権限移譲を許可する仕組みを悪用した同意フィッシング攻撃は脅威だと強調している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ソフトウェアの脆弱性は3年間で減少傾向–日本シノプシス調査
IT関連
2024-02-03 02:09
Google Cloudが語る、クラウドで守る顧客のサイバーセキュリティ
IT関連
2022-07-21 04:58
DX支援事業を展開するフレクト、経営管理プラットフォーム「DIGGLE」導入
IT関連
2023-04-22 21:15
大手企業の6割超が「現場部門によるデジタル化を実施」–ドリーム・アーツ調査
IT関連
2021-07-07 14:19
Cloudflare、Workers KVの更新に失敗し障害発生。しかも復旧用ツールがWorkers KVに依存しており使えず、手動で緊急対応
Cloudflare
2023-11-07 21:30
ウインドリバー、企業向けLinux商用版の国内提供を発表–エッジ領域などに展開
IT関連
2024-10-31 17:21
フェイスブックとInstagramで「いいね!」の数を非表示可能に、徐々に展開中
ネットサービス
2021-06-06 18:13
Apple、価格表示を「税込」に変更 4月1日からの「総額表示」の義務付けに対応
IT関連
2021-03-31 14:00
メルカリ、高額出品のアラート機能を実装へ マスク、PS5など“悪質出品”に対抗 個人間取引の原則を策定
アプリ・Web
2021-01-28 09:50
Zoom、字幕の自動生成を無料アカウントでも可能に
IT関連
2021-02-26 08:19
AI・ディープラーニング技術のコンサルティングと開発を手がけるリッジアイが7.8億円を調達
人工知能・AI
2021-02-02 20:42
MS、過去最大規模3.47TbpsのDDoS攻撃を阻止
IT関連
2022-02-03 11:08
Amazonとライフが生鮮食品の最短2時間配送サービスの対象エリアを千葉県13市・大阪府19市に拡大
ネットサービス
2021-05-22 18:36
生成AIをビジネス価値に変える「最高AI責任者」と実証プロジェクト例
IT関連
2024-02-16 08:50