デバイスコードフィッシング攻撃件数が37倍に急増、新たなフィッシングキットが複数出回る中

デバイスコードフィッシング攻撃件数が37倍に急増、新たなフィッシングキットが複数出回る中

BleepingComputer – April 4, 2026

OAuth 2.0のデバイス認可フローを悪用する手法「デバイスコードフィッシング」を利用した攻撃の今年の件数が、これまでの37倍以上に急増しているという。

デバイスコードフィッシングは、デバイスコード認証を悪用するフィッシング手法。攻撃者はまず、対象となるWebサービスにデバイスコードを生成するよう要求し、このコードを自身のデバイスで受け取る。その後、当該コードをターゲットユーザーに送付し、正規のサインインページに入力するようターゲットユーザーを誘導。騙されたユーザーがコードを入力すると当該サービスがアクセストークンを生成するので、攻撃者はこれを復元して悪用することで、ターゲットユーザーのアカウントおよびデータにアクセスできるようになる。

デバイスコードフィッシングが初めて文書化されたのは2020年だったものの、数年後から悪用されるようになり、現在までに国家を背景とするハッカーや金銭的動機を持つサイバー犯罪者らに取り入れられるようになったとされる。

Push Securityによれば、2026年にこの手法を利用した攻撃がこれまでの37.5倍にまで急増。その理由の1つとして、攻撃を円滑化するためのキットが複数出回っていることを挙げている。同社によれば、以下のような「フィッシング・アズ・ア・サービス（PhaaS）がサイバー攻撃者らの間で流通しているという。なお、EvilTokensとVenom以外はPush Security独自の追跡名であり、正式なサービス名というわけではない。

• EvilTokens：Telegram上で出回るフィッシングキット。デバイスコードフィッシングの台頭を支えるPhaaSキットの中でも最も傑出した存在。
• VENOM：デバイスコードフィッシングとAiTMの両方の機能を提供するクローズドソースのPaaSキット。そのデバイスコードコンポーネントは、EvilTokensのクローンであるとみられている。
• SHAREFILE：itrix ShareFileのドキュメント転送をテーマにしたキット。Node.jsベースのバックエンドエンドポイントを使用してファイル共有をシミュレートし、デバイスコードフローをトリガーする。
• CLURE：ローテーションするAPIエンドポイントとアンチボットゲートを使用するキット。SharePointをテーマにしたルアーとDigitalOcean上のバックエンドインフラストラクチャを備える。
• LINKID：Cloudflareの認証ページとセルフホスト型APIを活用し、Microsoft TeamsおよびAdobeをテーマにしたルアーを使用するキット。
• AUTHOV：workers.devでホストされ、ポップアップベースのデバイスコード入力とAdobeドキュメント共有ルアーを使用するキット。
• DOCUPOLL ：GitHub Pagesおよびworkers.devでホストされ、実際のページの複製を挿入するなどしてDocuSignのワークフローを模倣するキット。
• FLOW_TOKEN：Tencent Cloudのバックエンドインフラストラクチャを使用し、workers.devでホストされるキット。HRおよびDocuSignをテーマにしたルアーとポップアップベースのフローを採用する。
• PAPRIKA：AWS S3でホストされているキット。Office 365のブランドを冠したMicrosoftログインのクローンページと、偽のOktaフッターを使用する。
• DCSTATUS：一般的なMicrosoft 365の「Secure Access」を装ったおとりページから成る最小限のキットで、目に見えるインフラストラクチャの痕跡は限定的。
• DOLCE：Microsoft PowerAppsでホストされたキット。ドルチェ＆ガッバーナをテーマにしたルアーを使用しており、広く使用されているというよりは、単発またはレッドチームスタイルの実装である可能性が高い。

デバイスコードフィッシング攻撃を防ぐため、PushSecurityはユーザーに対し、アカウントに条件付きアクセス許可のポリシーを設定して不要な時は認証フローを無効化しておくよう推奨。加えて、予期せぬデバイスコード認証イベントや異常なIPアドレス、セッションなどが見られないか、ログをモニタリングすることも推奨している。