日々数百もの組織がデバイスコードフィッシングの被害に:マイクロソフトが報告 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > 日々数百もの組織がデバイスコードフィッシングの被害に:マイクロソフトが報告

デイリーサイバーアラート

AI

Silobreaker-CyberAlert

デバイスコードフィッシング

日々数百もの組織がデバイスコードフィッシングの被害に:マイクロソフトが報告

佐々山 Tacos

佐々山 Tacos

2026.04.08

日々数百もの組織がデバイスコードフィッシングの被害に:マイクロソフトが報告

The Register – Tue 7 Apr 2026

攻撃チェーンのほぼ全段階でAIと自動化を利用したデバイスコードフィッシングキャンペーンにより、1日あたり数百もの組織が侵害されているという。マイクロソフトが報告した。

 

スマートTVやプリンター、その他のIoTデバイスのように標準的な対話型ログインに対応していないデバイスでは一般的に、OAuth 2.0のデバイスコード認証が使用されている。デバイスコード認証とは、当該デバイス上でユーザーにWebサービスの認証コードを提供し、そのコードをPCなど別のデバイスのブラウザに入力させて認証プロセスを完了させるというもの。ユーザーにとっては便利なサインイン機能だが、別のデバイスで認証が完了するという事実は、「リクエストを発信したセッションがユーザーの本来のコンテキストと強く結びついていない」ことを意味する。

 

この点を突いた攻撃手法が、デバイスコードフィッシング。これは、攻撃者が自身のデバイスで認証コードを生成し、そのコードをフィッシングルアーを通じてターゲットユーザーに送付して、ユーザー自身のデバイスで当該コードによる認証を完了させるというもの。これにより攻撃者は、MFA(多要素認証)を経ることなく自身のデバイスでターゲットユーザーのアカウントにログインできるようになる。

 

マイクロソフトは、2026年3月15日以降、24時間ごとに10〜15件のデバイスコードフィッシングキャンペーンが実施されるのを観測しているという。このキャンペーンでは、実際のフィッシングが仕掛けられるよりも10〜15日前に、前もってターゲットに対する偵察活動が行われる。攻撃者はマイクロソフトのAPIエンドポイント「GetCredentialType」にクエリを送付し、ターゲットとなるメールアドレスの存在を確認。加えて、当該アドレスがテナント内でアクティブであることを確認する。

 

その後、攻撃者はAIを使用し、ターゲットのロールに合致する高度にパーソナライズされたフィッシングメールを作成。その内容には、提案依頼書(RFP)やインボイスの話題、製造ワークフローの話題などが使われるという。メールには有害な添付ファイルまたはURLが含まれており、ここから数回のリダイレクトを経てユーザーはフィッシングページに飛ばされることになる。

 

最終的なフィッシングページは、Webページ内の正規のブラウザウィンドウのような外観をしており、ユーザーに対してデバイスコードを提示。本人確認のためにこのコードをコピーして下部のボタンからマイクロソフトのデバイスログインページ(Microsoft.com/devicelogin)へ移動し、認証を済ませるよう指示する。

 

認証コードの有効期限はコード生成から15分しかないものの、今回のキャンペーンでは最終的なフィッシングページが表示されてから動的にコードが生成される。これにより、事前に生成したコードをフィッシングメールで送付するタイプの攻撃よりも、タイムフレームに余裕ができているという。

 

ユーザーが指示通りにこのコードを自身のデバイス上で入力してログインプロセスを完了させると、ライブアクセストークンが攻撃者のコンピューターに送られる。これにより、攻撃者はMFAをバイパスしてターゲットアカウントを乗っ取ることができるようになる。マイクロソフトによれば、その後の活動内容は攻撃者の目的次第で代わり、長期的なアクセス保持のためにプライマリ更新トークン(PRT)を生成できるよう10分以内に新たなデバイスが登録されることもあれば、数時間待機したのちに機微なEメールデータを盗んだり、特定の受信メールを攻撃者のもとへ転送できるような受信ルールを作成したりするケースもあるとされる。

 

このキャンペーンにおいて、攻撃者はRailway.comなどの自動化プラットフォームを利用して数千もの固有の短命なポーリングノードを立ち上げていることから、従来のようなシグネチャベースまたはパターンベースの検知がこれまで以上に難しくなっていると同社は指摘。被害組織はあらゆる業界、地域に及ぶとされ、自動化により多量の活動が継続的に観測されているという。

 

マイクロソフトはこれらの攻撃を特定のアクターグループに関連付けることはしていないものの、そのツールやインフラは、デバイスコードフィッシングキット「EvilTokens」のものと類似しているとされる。

 

EvilTokensは2月中旬から出回っているフィッシング・アズ・ア・サービス(PhaaS)で、Microsoft 365アプリケーション向けのフィッシング機能を提供。同サービスの運営陣は、今後GmailやOktaのフィッシングページもサポート対象になる予定だと約束している。

 

デバイスコードフィッシングの被害を防ぐため、可能であればデバイスコード認証フローは無効にすることをマイクロソフトは推奨。加えて、一般的なフィッシング技法を見破る方法について従業員に周知・教育することなども求められている。

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

ソーシャルエンジニアリング

フィッシング

デバイスコードフィッシング攻撃件数が37倍に急増、新たなフィッシングキットが複数出回る中

佐々山 Tacos

佐々山 Tacos

2026.04.06

Silobreaker-CyberAlert

ソーシャルエンジニアリング

フィッシング

関連資料をダウンロード

Codebook 2025 ~サイバーセキュリティ分析レポート~

Codebook 2025 ~サイバーセキュリティ分析レポート~

いつもCodebookをご覧いただきありがとうございます。 Codebookでは2023年より、平日ほぼ毎日、サイバーセキュリティ/インテリジェンス関連の英文ニュースを厳選し、日本語で簡潔に要約...

資料ダウンロード
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

資料ダウンロード
デジタル時代における世界の紛争

デジタル時代における世界の紛争

地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...

資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...

資料ダウンロード
ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク

ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク

ネット上の匿名性を悪用した不正や犯罪が、日本においても大きな脅威となっています。2024 年の能登半島地震の際には、実在しない住所への救助要請など、人命に影響を及ぼしかねない偽情報に海外からの「インプ...

資料ダウンロード

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ