正規のADFSリダイレクトを使ってMicrosoftのログイン情報を盗もうとするフィッシング手法が観測される

佐々山 Tacos

2025.10.17

正規のADFSリダイレクトを使ってMicrosoftのログイン情報を盗もうとするフィッシング手法が観測される

BleepingComputer – August 20, 2025

正規の「office.com」リンクとActive Directory フェデレーションサービス（ADFS）を組み合わせ、ターゲットユーザーをフィッシングページへリダイレクトする新たなテクニックが攻撃者に使用されるようになっているという。Push Securityの研究者が、観測した攻撃について報告した。

Push Securityによれば、この攻撃はまず、ターゲットとなったユーザーが「Office 265（おそらく365のタイポ）」というキーワードでGoogle検索を行い、検索結果ページ上の有害な広告リンクを踏んだところからスタート。このマルバタイジングのクリックにより、同ユーザーはまずMicrosoft Officeのページへ飛ばされ、別のドメイン「bluegraintours[.]com」にリダイレクトされたのち、Office 365のログイン情報を狙ったフィッシングページへリダイレクトされたという。

調査の結果、Push Securityは攻撃者が事前にカスタムのMicrosoftテナントをセットアップし、ADFSの設定を行っていたことを発見した。ADFSはマイクロソフトが提供しているシングルサインオン（SSO）ソリューションで、1組のログイン認証情報を使って複数のアプリケーションにアクセスすることを可能にするもの。攻撃者はMicrosoftテナントを制御することにより、ADFSを使ってbluegraintours[.]comドメインから認可リクエストを受け取る。ここでbluegraintours[.]comがIAMプロバイダーの役割を果たし、フィッシングページでの認証が可能になっていたという。

リダイレクトチェーンにおいて、このbluegraintoursのサイト自体はターゲットユーザーの目に入ることがないものの、攻撃者は同サイトを旅行をテーマとする偽のブログ記事で埋め、自動スキャンツールに「正規サイト」と認識されるようにしていたとされる。

Push Securityは、正規のoffice.comリンクが使われることでURLベースの検出が困難になる点に加え、ルアーの配布手段がマルバタイジングである点も注目に値すると指摘。これは脅威グループScattered Spiderなどの攻撃でも見受けられるトレンドで、Eメールレイヤに整備されるフィッシング対策措置を回避したい攻撃者にとっては有用な手段になっているという。

Push Securityによれば、今回観測された攻撃は特定の業界や職位を狙ったものとは思えず、おそらく脅威アクターが新たな攻撃手法を実験的に試していたものである可能性があるという。こうした攻撃に対し、同社はADFS関連のリダイレクトのモニタリングなど、一連の推奨事項を共有している。