ConsentFix：Azure CLIを通じてMicrosoftアカウントを乗っ取る新たなClickFix風攻撃

佐々山 Tacos

2025.12.12

ConsentFix：Azure CLIを通じてMicrosoftアカウントを乗っ取る新たなClickFix風攻撃

BleepingComputer – December 11, 2025

ClickFix攻撃の新たな変種「ConsentFix」を、サイバーセキュリティ企業Push Securityが発見。これは、Azure CLI OAuthアプリケーションを悪用してMicrosoftアカウントをハイジャックするもので、パスワードを窃取する必要もMFA（多要素認証）をバイパスする必要もないという。

ConsentFixの大筋は、OAuth 2.0認可コードを窃取し、それを用いてAzure CLIのアクセストークンを入手するというもの。Azure CLIはマイクロソフト製のコマンドラインアプリケーションで、OAuth認可フローによりローカルマシンからAzureおよびMicrosoft 365リソースへの認証・管理を行うことを可能にする。

ConsentFix攻撃は、被害者となるユーザーが侵害された正規Webサイトを訪れるところからスタート。このサイトはドメインスコアが高く、検索エンジンを通じて容易に訪問できるようになっているものの、攻撃社によって偽のCloudflare Turnstileが埋め込まれている。この偽CAPTCHAウィジェットは、「人間であることを証明」するためという名目でユーザーに有効な業務用メールアドレスを要求。ユーザーがアドレスを入力すると、攻撃者のスクリプトにより意図したターゲットかどうか、セキュリティボットやアナリストではないかどうかがチェックされ、通過したユーザーには第2段階のルアーが提示される。

ユーザーに対する次の指示は、まずMicrosoftアカウントにサインインして本人確認を行い、認証に成功したら、localhostのURLをコピーしてフォーム内にペーストせよ、というもの。具体的には、攻撃は以下の流れで進む。

ユーザーは、画面に表示された「Sign In」ボタンをクリックするよう要求される。これにより新たなタブが開き、前段階で提出されたユーザーのメールアドレス／アカウントに紐づいた正規のMicrosoftのURLがロードされる。
ユーザーがすでにMicrosoftにログインしている場合（アクティブなセッションがある場合）、ドロップダウンから自身のMSアカウントを選ぶよう指示される。
まだログインしていない場合は、前述の正規のMicrosoftのログインURLからログインするよう求められる。なおこの段階ではフィッシングは行われない。
ユーザーが正規のMicrosoftへログインするか、ドロップダウンから自身のアカウントを選択すると、localhost（ローカルホスト）へリダイレクトされる。localhostのURL（ブラウザのアドレスバー）には、当該ユーザーのMSアカウントに紐づく認可コードが含まれている。
ユーザーはlocalhostのURLをコピーし、元のページ上に指示通りペーストする。これにより、攻撃者はAzure CLI OAuthアプリケーションを通じてユーザーのMSアカウントへアクセスできるようになる。

このように、ConsentFixではパスワードを騙し取ったり、MFAチェックを通過したりする必要がない。またターゲットユーザーがすでにログイン済みだった場合には、ユーザーに改めてログインさせることすら不要。

Push SecurityはConsentFixへの対策として、異常なAzure CLIのログインアクティビティ（新規のIPアドレスからのログインなど）がないかを確認することや、攻撃者に悪用され得る古くなったMicrosoft Graphのスコープをモニタリングすることなどが推奨されている。