公開日: Sun, 16 Mar 2025 10:19:29 -0400
記事のジャンル: Security
Original URL: https://www.bleepingcomputer.com/news/security/malicious-adobe-docusign-oauth-apps-target-microsoft-365-accounts/
記事本文(要約)
サイバー犯罪者が、AdobeやDocuSignを装った悪意のあるMicrosoft OAuthアプリを利用してマルウェアを配信し、Microsoft 365アカウントの資格情報を盗むキャンペーンを展開しています。この攻撃はProofpointの研究者によって発見され、高度に標的化されているとされています。
攻撃はAdobe DriveやDocuSignを装ったOAuthアプリを用いており、’プロフィール’や’メール’、’openid’といった軽微な権限を要求することで検出や疑念を避けています。しかしこれらの権限が許可されると、攻撃者はフルネームやユーザーID、メールアドレスなどの情報にアクセスでき、さらにこれを利用してより標的を絞った攻撃が可能になります。
これらのフィッシングキャンペーンは、主に米国や欧州の政府、医療、サプライチェーン、小売を狙っており、メールではRFPや契約を装った誘惑を利用しています。OAuthアプリが許可されると、ユーザーはフィッシングフォームやマルウェアを配布するランディングページにリダイレクトされます。
Proofpointは、配布されているマルウェアを特定できなかったものの、攻撃者がClickFixというソーシャルエンジニアリング攻撃を用いることが多いと述べています。このようなOAuthアプリは、資格情報を盗まずにMicrosoft 365アカウントを乗っ取る効果的な手段として依然として利用されています。
ユーザーにはOAuthアプリの許可要求に対し、必ず出所と正当性を確認した上で承認するように警告されています。また、不明なアプリの許可を’My Apps’で取り消すか、Microsoft 365管理者はサードパーティのOAuthアプリの許可を制限する設定を推奨されています。
※この要約はChatGPTを使用して生成されました。
詳細な技術情報
- 脆弱性の仕組み
- この攻撃キャンペーンは、Microsoft OAuthアプリの認可プロセスを悪用しています。具体的には、ユーザーがアプリに対して権限を付与する際、それが本物のサービスと誤解させることで、ユーザーのアカウント情報へのアクセスを不正に取得します。
- 攻撃手法 攻撃者は以下の手法を用いています:
- 1.偽装:AdobeやDocuSignといった有名な企業のアプリを装い、ユーザーに偽のOAuth認可を促します。
- 2.ソーシャルエンジニアリング:偽のRFP(提案依頼書)や契約書を利用して、ユーザーにリンクをクリックさせ、偽のページに誘導します。
- 3.段階的なリダイレクト:OAuth認可後、ユーザーをフィッシングページやマルウェア配布ページにリダイレクトします。
- 4.権限の悪用:ユーザーのプロフィール情報やメールアドレスのみを取得することで、警戒されにくい権限を取得します。
- 潜在的な影響
- 情報漏洩:ユーザーの氏名、ユーザーID、プロフィール写真、メールアドレスなどが漏洩する可能性があります。
- アカウント乗っ取り:取得した情報を用いて、さらに高度なスピアフィッシング攻撃を行い、Microsoft 365アカウントを乗っ取るリスクがあります。
- マルウェア感染:偽のOAuthアプリを介してマルウェアがシステムにインストールされる可能性があります。
- 推奨される対策
- 1.権限の確認:OAuthアプリの許可リクエストに対しては、出所と正当性を確認すること。特に生じない許可要求に注意を払う。
- 2.認可の見直し:Microsoft 365の「My Apps」ページにアクセスし、不明なアプリの認可を取り消す。
- 3.管理者設定:管理者は「Enterprise Applications」 → 「Consent and Permissions」設定から、ユーザーが第三者OAuthアプリケーションへの同意を与える権限を制限する。
- 4.教育と意識向上:従業員に対してフィッシング攻撃やソーシャルエンジニアリングのリスクについて教育し、対応策を講じる。 この攻撃はユーザーの警戒心の低さを狙ったもので、適切なセキュリティ対策を講じることで防ぐことが可能です。特に、OAuthアプリの許可管理が重要です。
