MS、「OAuth」を悪用した不正アプリによる「同意フィッシング」に警鐘

今回は「MS、「OAuth」を悪用した不正アプリによる「同意フィッシング」に警鐘」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Microsoftは米国時間1月31日、「マイクロソフトクラウドパートナープログラム」(MCCP、旧称MPN)の不正なアカウントを用いたフィッシングキャンペーンについてMicrosoft Security Response Center(MSRC)で警鐘を鳴らした。このフィッシング攻撃は、偽のアプリによって標的をだまし、電子メールアカウントにアクセスするための権限を付与させるものだという。

 サイバーセキュリティ企業Proofpointによると、攻撃者らは不正に取得したMCCPアカウントを用いて、「Single Sign On」(SSO)や「Meeting」といった、一見まともな名前を有し、「Zoom」の古いアイコンや、Zoomに似たURLなどを使って説得力のある不正なアプリを登録するという。

 攻撃者らはまず、正規の企業になりすまして、MCCPに参加した後でそのアカウントを用いて、「Azure Active Directory」(Azure AD)内に作成したOAuthアプリ登録に確認済みの発行者を追加する。

 Microsoftは、この攻撃を「同意フィッシング攻撃」と分類している。その理由は、攻撃者が不正なアプリと、Azure ADベースのOAuthの同意プロンプトを用いて標的をだまし、電子メールや連絡先などにアクセスする権限を不正なアプリに付与させようとするためだ。また、こうした権限は1年にわたって維持される可能性もある。さらに、発行者のステータスが確認済みになっているため、発行者の表示名の横に、Microsoftが当該アプリの発行者を確認したことを示す青い「確認済み」バッジも表示される。

 同社はブログに、このフィッシングキャンペーンの標的は「主に、英国とアイルランドに拠点を置く一部の顧客」であり、これら不正なアプリを無効化した上で、影響を受けた顧客に通知したという。

 「Office 365」の顧客を標的にし、類似のテクニックを用いた同意フィッシング攻撃のインシデントは近年徐々に増加してきているという。被害者が一度権限の付与を許可してしまうと、攻撃者はOAuthのアクセス権限付与情報を含んだトークンを使うことで、標的となったアカウントのパスワードを使わずに機密データにアクセスできるようになる。Microsoftは最近、この攻撃手法に関するドキュメントを更新した。

 Proofpointは2022年12月6日、サードパーティーによる悪意あるOAuthアプリを発見し、20日にMicrosoftへ通知した。Proofpointによると、このフィッシングキャンペーンは27日に終了したという。また、Microsoftは15日にこの同意フィッシングキャンペーンを検知していた。

 Proofpointは、悪意を有するアプリがユーザーになり代わって、侵害したユーザーアカウントに関連付けられているメールボックス内のリソースや、カレンダー、ミーティングの招待にアクセスできるようになるという点で、OAuthの権限移譲を許可する仕組みを悪用した同意フィッシング攻撃は脅威だと強調している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Google Cloudとシンガポール金融庁、気候フィンテックで提携–サービス開発を支援
IT関連
2022-08-02 23:41
アース製薬、データ統合分析基盤を導入–生産性の向上に期待
IT関連
2022-03-17 14:43
回答者の99%がアイデンティティーへのサイバー攻撃が拡大すると予想–CyberArk調査
IT関連
2023-10-07 02:04
Excel世界大会も登場、今改めて考える「eスポーツとは何か」 (1/3 ページ)
くわしく
2021-06-29 06:30
公務員のテレワーク進まず 住民との窓口多く対応に苦慮
IT関連
2021-01-16 18:27
AirPodsで手の動きをリアルタイムトラッキングする「EarphoneTrack」 :Innovative Tech
イラスト・デザイン
2021-02-27 13:32
人間重視のテクノロジー利用の勘所–フリークアウトの本田CEO
IT関連
2021-06-24 07:36
ランサムウェア地下鉄マップ–年代別に見るランサムウェアの変遷
IT関連
2022-06-24 11:40
ISMAP簡易版「ISMAP-LIU」開始–政府がクラウドリストを提示する背景
IT関連
2022-08-09 21:53
Apple、ポッドキャストクリエイターを紹介する「Apple Podcasts Spotlight」を公開
イラスト・デザイン
2021-01-21 02:21
グーグル、新たなセキュリティサービス–AWSやAzureに対応
IT関連
2024-03-17 21:15
鴻池運輸、Salesforce製品で海上輸出入業務をデジタル化
IT関連
2022-06-19 08:48
1杯30秒、非接触で「キンキンに冷えた」ハイボールを提供するTechMagicの業務用ドリンクロボ
ロボティクス
2021-05-11 17:19
日立ソリューションズ、「PointInfinity」を拡張–デジタルマーケティングを包括的に支援
IT関連
2021-02-19 12:12