デバイスコードビッシング攻撃でMicrosoft Entraアカウントが標的に

yab

2026.02.20

デバイスコードビッシング攻撃でMicrosoft Entraアカウントが標的に

BleepingComputer – February 19, 2026

デバイスコードフィッシングとボイスフィッシング（ビッシング）を組み合わせたキャンペーンがMicrosoft Entraアカウントを侵害しようとしていることが明らかになった。OAuth 2.0デバイス認証フローを悪用するこの攻撃では、テクノロジー・製造・金融関連の企業が標的となっているとみられる。

BleepingComputerの情報筋によると、この攻撃はShinyHuntersによるものであるそう。ShinyHuntersは1月末にもOktaやMicrosoft Entra SSOアカウントを悪用した侵害を行っている。

デバイスコードフィッシング攻撃とは、正当なOAuth 2.0デバイス認証付与フローを悪用して、被害者のMicrosoft Entraアカウントの認証トークンを取得する攻撃のことで、攻撃者は被害者のリソースや接続されたSSOアプリケーション（Microsoft 365やSalesforceなど）にアクセスできるようになる。偽の有害OAuthアプリを介してアカウントを侵害する方法とは異なり、正当なMicrosoft OAuthクライアントIDとデバイス認証フローが悪用されているため、攻撃者はフィッシングサイトを使う手間なく、有効な認証トークンを直接盗み取ることができるとのこと。

デバイスコードフィッシング攻撃を実行する際に、攻撃者は既存のOAuthアプリの「client_id」を用意し、オープンソースツールを用いてOAuthアプリの「device_code」と「user_code」を生成する。その後、標的とする従業員に連絡し、生成した「user_code」をMicrosoftデバイス認証ページ（microsoft.com/devicelogin）で入力するように誘導。被害者がコードを入力すると、通常のログイン時と同様に認証情報の入力とMFAを完了するように求められる。Microsoftは認証後に承認されたOAuthアプリケーションの名前を表示するものの、攻撃者は正規のアプリを使用してこの攻撃プロセスを実行できるため、被害者に不信感を抱かせにくくなっている。OAuthアプリがアカウントに接続されると、攻撃者は「device_code」を使用して被害者のリフレッシュトークンを取得し、それを使って新たなアクセストークンを獲得する。前段階のログイン時にMFAは完了されているため、攻撃者は認証なしでこのアクセストークンを使って従業員のMicrosoftサービスにアクセスすることが可能になる。その後、攻撃者はMicrosoft Entraから被害者テナント内のSSOが有効なSaaSアプリにアクセスし、企業データを窃取するという。

攻撃を回避するには、Microsoft 365アカウントの設定で有害なドメインやアドレスをブロックするだけでなく、疑わしいOAuthアプリの同意の取り消しや、デバイスコード認証イベントのAzure ADサインインログを確認することが推奨される。アカウント管理者が不要なデバイスコードフロー機能をオフにし、条件付きアクセスポリシーを適用することも有効な緩和策となる。