メールセキュリティ企業Proofpointは、複数の脅威アクターがOAuthデバイスコード認証メカニズムを悪用してMicrosoft 365アカウントを侵害するフィッシング攻撃を観測したと発表した。攻撃者は被害者を騙してMicrosoftの正規デバイスログインページにデバイスコードを入力させ、攻撃者が管理するアプリケーションを承認させることで、認証情報の窃取や多要素認証の回避なしにアカウントへのアクセスを獲得する。
この手法自体は新しくないが、2025年9月以降攻撃量が大幅に増加しており、金銭目的のサイバー犯罪者TA2723とロシアと連携が疑われる国家関連の脅威アクターUNK_AcademicFlareが関与している。攻撃にはSquarePhish v1、v2、Graphishという2種類のフィッシングキットが使用されている。UNK_AcademicFlareは侵害された政府および軍の電子メールアカウントを使用し、米国および欧州の政府、学術、シンクタンク、運輸部門を主に標的としている。
From: 
Microsoft 365 accounts targeted in wave of OAuth phishing attacks
【編集部解説】
今回のOAuthデバイスコードフィッシング攻撃の急増は、エンタープライズセキュリティにおける重大な警告信号です。この攻撃手法が特に厄介なのは、Microsoftの正規の認証フローを悪用するため、従来のフィッシング対策がほぼ無力化される点にあります。
OAuthデバイスコード認証は本来、スマートテレビやゲーム機など入力機能が限られたデバイス向けに設計された正規の認証フローです。ユーザーはデバイスに表示されたコードをスマートフォンやPCのブラウザで入力することで認証を完了します。攻撃者はこの仕組みを逆手に取り、被害者に「セキュア認証」や「トークン再認証」といった偽の理由でコード入力を促します。
最も深刻なのは、この攻撃が多要素認証(MFA)を完全に迂回できる点です。攻撃者はパスワードを盗む必要がなく、MFAコードを取得する必要もありません。被害者が正規のMicrosoftドメイン上でコードを入力した瞬間、攻撃者が管理するアプリケーションへのアクセス権限が付与され、アカウント全体が乗っ取られます。これは、セキュリティ意識の高いユーザーでも見抜くことが極めて困難な攻撃です。
Proofpointの報告によれば、攻撃に使用されているSquarePhish2やGraphishといったフィッシングキットは、技術的な専門知識がなくても使用できるよう設計されています。これにより攻撃の敷居が大幅に下がり、2025年9月以降の急増につながっています。
特に注目すべきは、金銭目的の犯罪者グループTA2723と、ロシアと連携が疑われる国家関連の脅威アクターUNK_AcademicFlareの両方がこの手法を採用している点です。UNK_AcademicFlareは侵害された政府や軍の電子メールアカウントを使用して信頼関係を構築した後、偽のOneDriveリンクを送信するという巧妙な手口を用いています。米国や欧州の政府機関、学術機関、シンクタンクが主な標的となっており、これは明らかに諜報活動を目的としたものと考えられます。
興味深いのは、Proofpointが「FIDO準拠のMFA制御の採用により、OAuthフローの悪用は今後も増加すると評価している」と述べている点です。これは一見矛盾しているように思えますが、実は重要な洞察を含んでいます。FIDO2やパスキーといったフィッシング耐性のある認証方式が普及すると、攻撃者は従来のパスワードやMFAコードの窃取から、正規の認証フローの悪用へとシフトせざるを得なくなります。
対策としては、Microsoft Entra Conditional Accessを使用してサインイン元を制限するポリシーの導入が推奨されています。また、組織はデバイス登録やIntuneを使用している場合、準拠デバイスまたは登録済みデバイスからのサインインのみを許可する条件付きアクセスポリシーを設定できます。
最終的に、この事例が示しているのは、認証セキュリティが「パスワードの強度」から「認証フローの正当性検証」へと移行しているという現実です。ユーザー教育だけでは不十分で、組織レベルでの技術的な制御とポリシー設定が不可欠となっています。
【用語解説】
OAuth(オーオース)
Open Authorizationの略。ユーザーがパスワードを共有することなく、第三者アプリケーションに自分のアカウント情報へのアクセス権限を付与できる業界標準の認証プロトコル。OAuth 2.0が現在の主流バージョンである。
OAuthデバイスコード認証フロー
スマートテレビやゲーム機など、ブラウザを持たないか入力機能が限られたデバイス向けに設計された認証方式。デバイスに表示されたコードをユーザーが別のデバイス(スマートフォンやPCなど)で入力することで認証を完了する正規の仕組み。
多要素認証(MFA)
Multi-Factor Authenticationの略。パスワードに加えて、SMS認証コードや生体認証など複数の要素を組み合わせて本人確認を行うセキュリティ手法。従来はフィッシング対策として有効とされていたが、今回の攻撃手法はMFAを迂回できる。
FIDO2(ファイドツー)
Fast IDentity Online 2の略。パスワードレス認証を実現する業界標準規格。公開鍵暗号方式を使用し、フィッシング攻撃に対する耐性が高い。秘密鍵はデバイス内に保存され、ネットワーク上を流れることがないため安全性が高い。
パスキー
FIDO2技術を基盤としたパスワードレス認証の実装。AppleやGoogle、Microsoftが推進している。生体認証やPINと組み合わせて使用され、フィッシング攻撃に強い認証方式として注目されている。
Microsoft Entra Conditional Access
旧称Azure AD Conditional Access。ユーザーの場所、デバイスの状態、リスクレベルなどの条件に基づいてアクセス制御を行うMicrosoftのクラウドベースのセキュリティ機能。
TA2723
大量の認証情報フィッシングを行う金銭目的の脅威アクター。以前はMicrosoft OneDrive、LinkedIn、DocuSignのなりすましで知られていたが、2025年10月からOAuthデバイスコードフィッシングの使用を開始した。
UNK_AcademicFlare
Proofpointが追跡しているロシアと連携が疑われる国家関連の脅威アクター。2025年9月以降、侵害された政府および軍の電子メールアカウントを使用して、米国および欧州の政府、学術、シンクタンク、運輸部門を標的としている。
SquarePhish / SquarePhish2
QRコードを介してOAuthデバイス許可フローを標的とする公開されているレッドチームツール。正規のMicrosoft MFA/TOTPセットアップを模倣する。技術的な専門知識がなくても使用できるよう設計されている。
Graphish
地下フォーラムで共有されている無料の悪意あるフィッシングキット。OAuthの悪用、Azure App Registrations、中間者(AiTM)攻撃をサポートしている。ユーザーフレンドリーな設計により、スキルの低い攻撃者でも高度なフィッシングキャンペーンを実行できる。
中間者攻撃(AiTM)
Adversary-in-the-Middle attackの略。攻撃者が通信の中継点に位置し、ユーザーと正規サービスの間でやり取りされるデータを傍受・改ざんする攻撃手法。
レッドチーム
組織のセキュリティ体制をテストするために、攻撃者の視点から侵入試験を行う専門チーム。レッドチームツールは本来セキュリティテスト用だが、悪意ある攻撃者に悪用されることもある。
【参考リンク】
Proofpoint(外部)
メールセキュリティと脅威インテリジェンスを専門とするサイバーセキュリティ企業。今回のOAuthデバイスコードフィッシング攻撃の急増を報告。
Microsoft Entra(旧Azure Active Directory)(外部)
Microsoftのクラウドベースのアイデンティティおよびアクセス管理サービス。Conditional Access機能を提供。
FIDO Alliance(外部)
パスワードレス認証の業界標準を策定する非営利団体。FIDO2やパスキーなどのフィッシング耐性のある認証技術を推進。
BleepingComputer(外部)
サイバーセキュリティとテクノロジーに特化したニュースサイト。20年以上にわたり最新の脅威情報を提供している。
Microsoft Security Blog(外部)
Microsoftの公式セキュリティブログ。脅威インテリジェンスチームによる脅威分析やベストプラクティスを発信。
【参考記事】
Access granted: phishing with device code authorization for account takeover | Proofpoint(外部)
Proofpoint公式レポート。TA2723やUNK_AcademicFlareの攻撃手法を詳細に解説。
Microsoft 365 users targeted in device code phishing attacks – Help Net Security(外部)
OAuth 2.0デバイス許可グラントフローの悪用手法と攻撃の敷居が下がっている状況を報告。
OAuth Device Code Phishing Campaigns Surge Targets Microsoft 365 – Infosecurity Magazine(外部)
2025年9月以降のフィッシングキャンペーン急増を報告。SquarePhish2とGraphishの役割を解説。
Storm-2372 conducts device code phishing campaign | Microsoft Security Blog(外部)
Microsoft公式。2024年8月から続くStorm-2372によるデバイスコードフィッシングキャンペーンを解説。
Phishing for Codes: Russian Threat Actors Target Microsoft 365 OAuth Workflows | Volexity(外部)
2025年3月以降のロシア脅威アクターUTA0352とUTA0355による攻撃を詳述。
Russia-Linked Hackers Use Microsoft 365 Device Code Phishing for Account Takeovers – The Hacker News(外部)
UNK_AcademicFlareによる2025年9月以降のフィッシングキャンペーンと複数のロシア系クラスターを報告。
OAuth 2.0 device authorization grant – Microsoft identity platform | Microsoft Learn(外部)
Microsoftの公式ドキュメント。OAuth 2.0デバイス許可グラントフローの正規の仕組みを技術的に解説。
【編集部後記】
正規の認証フローを悪用する今回のような攻撃は、従来のセキュリティ常識を根底から覆すものです。みなさんの組織では、「Microsoftの公式ページだから安全」という前提が、どこまで従業員に浸透しているでしょうか。また、デバイスコードの入力を求められた際、それが本当に正当な要求なのか判断できる体制は整っているでしょうか。FIDO2やパスキーへの移行が進む中、攻撃者も進化し続けています。ぜひSNSで、みなさんの組織のセキュリティ対策や、この記事を読んで感じた懸念点を共有していただけると嬉しいです。
