Microsoft、信頼されたログイン リダイレクトを悪用した新たな OAuth フィッシング手法を警告
<本文>
Microsoft はセキュリティを真剣に受け止めており、最近新しい Defender 導入のオンボーディング エクスペリエンスを展開しました。現在同社は、正規の認証フローを悪用する高度な OAuth フィッシング手法について警告しています。
フィッシングキャンペーンで使用される OAuth リダイレクト機能
Microsoft Defender の研究者は、OAuth の組み込みリダイレクト動作を悪用してマルウェアを配信し、被害者を悪意のある Web サイトにリダイレクトするフィッシング キャンペーンを発見しました。
重要なのは、この攻撃は OAuth プロトコルを破壊したり、認証トークンを直接盗んだりするものではないということです。代わりに、OAuth がエラー リダイレクト フローを処理する方法を悪用し、既存の動作を悪用します。
OAuth フィッシング手法の仕組み
攻撃者はまず、悪意のある OAuth アプリケーションを自身の Microsoft または Google テナント内に登録します。彼らは、管理するドメインを指すようにアプリのリダイレクト URI を構成します。
次に、正当に見えるように細工された OAuth ログイン リンクを生成します。多くの場合、login.microsoftonline.com などの信頼できるドメインが使用されます。リンクには、prompt=none の使用や無効なスコープの要求など、サイレント認証の失敗をトリガーするように設計された特定のパラメーターが含まれています。
被害者は、電子署名要求、Teams への招待、またはパスワード リセット通知を装ったフィッシングメールを通じてリンクを受け取ります。被害者がリンクをクリックすると、実際の Microsoft または Google のログイン エンドポイントが開きます。
ID プロバイダーはリクエストを処理し、認証エラーを検出します。 OAuth は、失敗した場合にユーザーをアプリケーションの登録済みリダイレクト URI にリダイレクトするように設計されているため、ブラウザは攻撃者が制御するドメインに自動的に送信されます。
これにより、明らかな警告なしに被害者が信頼できる認証ページから悪意のあるサイトに移動するという、説得力のある攻撃チェーンが作成されます。
マルウェアの配信と認証情報の収集
リダイレクトされると、攻撃者は自動的にマルウェアを含む ZIP ファイルのダウンロードをトリガーしたり、資格情報やセッション Cookie をキャプチャするフィッシング ページを表示したりする可能性があります。
より高度なケースでは、ダウンロードされたペイロードは PowerShell コマンドを実行し、システム偵察を実行し、悪意のある DLL をサイドロードし、コマンド アンド コントロール サーバーに接続します。
この手法により、攻撃者はソフトウェアの脆弱性を悪用することなく、資格情報、セッション アクセス、さらにはエンドポイントの制御を取得する可能性があります。
この方法には偵察上の利点もあります。 OAuth フロー中のエラー応答によって、アカウントが存在するかどうか、または対話型認証が必要かどうかが明らかになり、攻撃者に追加の情報が与えられる可能性があります。
Microsoft の対応と緩和策のガイダンス
Microsoft は、これらのキャンペーンに関連するいくつかの悪意のある OAuth アプリケーションをすでに無効にしています。ただし、同様の活動が引き続き表面化しており、継続的な監視が必要であると同社は指摘しています。
リスクを軽減するために、Microsoft は OAuth アプリケーションを厳密にガバナンスし、ユーザーの同意権限を制限し、アプリの登録と付与されたスコープを定期的に確認することを推奨しています。管理者は、条件付きアクセス ポリシーを適用して、信頼された ID リダイレクトの悪用を制限する必要もあります。
同社は、組織がこの新たな脅威に対する保護を強化できるよう、詳細なセキュリティ ガイダンスを公式ブログで公開しました。
関連する開発において、Microsoft は最近、新しいベースライン構成で Windows Server 2026 のセキュリティを強化し、多要素認証を優先して Exchange Online PowerShell の従来の資格情報ベースのサポートを廃止し、より強力な ID セキュリティへの広範な取り組みを強化しました。
*️⃣ 出典リンク:
Defender 導入のオンボーディング エクスペリエンス、 公式ブログの詳細なセキュリティ ガイダンス、強化された Windows Server 2026 セキュリティ、Exchange Online PowerShell の資格情報ベースのサポート、