デバイスコードフィッシングとは?攻撃の仕組みや被害、騙されやすいポイントを解説
近年、「デバイスコードフィッシング(Device Code Phishing)」と呼ばれるサイバー攻撃が確認されています。
特にMicrosoft 365環境を悪用した事例が報告されています。また、マイクロソフトのサイバー攻撃分析チームであるMicrosoft Defender Security Research Teamも、デバイスコード認証フローを悪用した大規模なフィッシングキャンペーンについて注意喚起を行っています。
▼Microsoft Defender Security Research Team:Inside an AI‑enabled device code phishing campaign
この攻撃では、利用者が正規の認証画面で操作を行うため、従来のフィッシング対策だけでは見抜きにくいという特徴があります。本記事では、デバイスコードフィッシングの仕組みや攻撃の流れ、従業員に教育すべきポイントについて分かりやすく解説します。
デバイスコードフィッシングとは
デバイスコードフィッシングとは、「デバイスコード認証(Device Code Flow)」を悪用したフィッシング攻撃です。
デバイスコードとは、スマートテレビや会議室端末など、文字入力がしづらい機器を利用するときに使われる認証方式です。認証したい機器に短いデバイスコードが表示され、利用者はスマートフォンやパソコンなど別の端末から認証サイトへアクセスして、そのコードを入力します。認証が完了すると、スマートテレビや会議室端末などの機器が利用者のアカウントでサービスを利用できるようになります。
従来のフィッシング攻撃は、IDやパスワードを盗み取ることが主な目的でした。一方、デバイスコードフィッシングでは、利用者自身に正規の認証操作を行わせ、その結果として得られるアクセス権を攻撃者が悪用します。そのため、利用者は本物の認証画面で正しくログインしたつもりでも、気付かないうちに攻撃者へ自分のアカウントへのアクセス権を与えてしまう可能性があります。
デバイスコードフィッシングの攻撃の流れ
① 攻撃者が認証サービスへデバイスコード発行を要求
攻撃者は、認証サービスへデバイスコードの発行を要求します。
② 認証サービスがデバイスコードを発行
攻撃者に対して、認証サービスがデバイスコードと認証用URLを発行します。
③ 攻撃者が標的ユーザーへデバイスコードを送信
攻撃者は取得したデバイスコードと認証用URLを、メールやチャットなどで標的ユーザーに送信します。
例えば、
- Teams会議への参加
- 共有ファイルの閲覧
- セキュリティ確認
- アカウント更新
などを装うケースが確認されています。
④ 標的ユーザーが認証サービスで認証
利用者は案内された正規のURLへアクセスし、攻撃者から送付されたデバイスコードを入力します。
その後、必要に応じて
- ID入力
- パスワード入力
- MFA認証
を実施します。
⑤ 認証サービスが認証トークンを発行
認証が完了すると、攻撃者が開始したデバイスコード認証フローに対して、利用者のアカウントに紐づく認証トークン(アクセストークンなど)が発行されます。
⑥ 攻撃者がトークンを利用してサービスへアクセス
攻撃者は、取得した認証トークンを利用し、利用者本人として各種サービスへアクセスできるようになります。
攻撃者が取得する権限について
取得できる権限は利用者の権限によって異なりますが、メールやチャット、ファイル共有サービスなどへのアクセスが可能になるケースがあります。また、攻撃者は正規の認証を経て取得した認証トークンを利用するため、不正アクセスとして気付きにくい場合がある点も特徴です。
想定される被害
デバイスコードフィッシングによって攻撃者が認証トークンを取得すると、利用者と同じ権限でサービスへアクセスできるようになります。被害の範囲は利用者の権限によって異なりますが、情報漏えいだけでなく、なりすましや二次攻撃へ発展する可能性もあります。
メールの閲覧
メール本文や添付ファイル、取引先とのやり取りなどが窃取される可能性があります。また、過去のメールから組織構成や取引状況を把握され、さらなる攻撃の足掛かりとして悪用されるケースもあります。
チャットの窃取
社内コミュニケーションや機密情報が漏えいする可能性があります。プロジェクト情報や経営情報、人事情報などが含まれている場合、企業に大きな影響を与える恐れがあります。
共有フォルダからの情報漏えい
共有フォルダや個人ストレージに保存された機密情報が流出する恐れがあります。顧客情報、契約書などが窃取された場合、事業活動や取引先との信頼関係に影響を及ぼす可能性があります。
ビジネスメール詐欺(BEC)
正規アカウントを利用した詐欺メール送信に悪用されることがあります。取引先や社内担当者になりすまして送金依頼や請求書の差し替えを行うなど、金銭被害につながるケースもあります。
社内なりすまし
信頼されたアカウントとしてさらなる攻撃が実施される可能性があります。社内の他の従業員へ不正なファイルやURLを送信し、被害を拡大させるケースも考えられます。
ランサムウェア攻撃の足掛かり
攻撃者が環境を調査するための入口として利用されるケースもあります。組織内のシステム構成や利用状況を把握した上で、後続のランサムウェア攻撃へ発展する可能性があります。
二次攻撃への悪用
窃取した情報を利用して別の社員や取引先への攻撃が行われる可能性もあります。
攻撃者はどのように標的を選ぶのか
デバイスコードフィッシングは、特定の企業や重要人物だけを狙う攻撃とは限りません。攻撃者は公開情報や過去に流出した情報などからメールアドレスを収集し、その組織で利用されていそうなクラウドサービスにあたりをつけます。
メールアドレスは、企業サイト、採用ページ、SNS、名刺情報、過去の情報漏えいデータなどから入手される可能性があります。また、公開されている共有リンクや企業の発信内容から、利用しているクラウドサービスを推測することもできます。つまり、攻撃者は内部情報を持っていなくても、外部から確認できる情報だけで標的を選定できてしまいます。
そのため、「自社は大企業ではないから狙われない」と考えるのは危険です。メールアドレスが公開されている、クラウドサービスを利用している、日常的にメールやチャットで業務連絡をしているだけで攻撃対象になり得ます。
被害者が騙されやすいポイント
デバイスコードフィッシングは、従来のフィッシングとは異なり、本物の認証サイトが利用される点が特徴です。
URLが本物の認証サイト
通常のフィッシングではURLの確認が有効ですが、デバイスコードフィッシングでは正規の認証サイトが利用されるため、URLだけでは判断できません。
MFA認証が表示されるため安心してしまう
利用者は正しいID・パスワードを入力し、MFA認証まで実施します。そのため「正規の手続きだろう」と思い込みやすくなります。
日常業務で見慣れた内容を装われる
Teams会議への参加依頼や共有ファイルの確認依頼など、普段の業務でよく見かける内容を装うため違和感を抱きにくくなります。
「セキュリティ確認」や「アカウント更新」を急がされる
緊急性や重要性を強調されることで、内容を十分確認しないまま認証してしまうケースがあります。「本物のサイトだから安全」とは限らない点が、デバイスコードフィッシングの最も危険なポイントです。
従業員に教育すべきポイント
デバイスコードフィッシングへの対策としては、認証サービス側での設定変更や監視などの技術的な対策も有効です。
一方で、この攻撃は利用者の判断を悪用する手口であるため、利用者が攻撃の特徴を理解し、適切に対応できるよう教育することも重要です。ここでは、企業が従業員に教育すべきポイントを解説します。
従業員に攻撃手法を理解してもらう
まず重要なのは、デバイスコードフィッシングという攻撃手法の存在を知ることです。この攻撃では、本物の認証サイトが利用されるため、「正規のサイトだから安全」「MFA認証が表示されたから問題ない」といった思い込みが被害につながります。従業員が攻撃の特徴を理解できるよう、継続的な教育を実施することが重要です。
認証要求を安易に受け入れない
突然認証コードの入力やログインを求められた場合は、その依頼が本当に正当なものかを確認する習慣を身につける必要があります。特に、会議参加や共有ファイルの閲覧、セキュリティ確認、アカウント更新などを理由とした認証要求には注意が必要です。
また、URLが正規のサイトであっても、それだけで安全とは判断できません。「なぜ今この認証が必要なのか」という視点で確認することが重要です。
メール攻撃訓練を実施する
実際の攻撃に近い訓練を行うことで、従業員の判断力を高めることができます。特にデバイスコードフィッシングでは、「認証コードの入力依頼」や「Teams通知を装った連絡」など、実際の攻撃手口を再現した訓練が効果的です。
まとめ
デバイスコードフィッシングは、正規の認証機能を悪用する新しい攻撃手法です。従来型フィッシングのように認証情報を盗み出すのではなく、利用者自身に認証を実施させ、その結果として発行される認証トークンを悪用する点が特徴です。
そのため、URL確認やMFA導入だけでは十分な対策とは言えません。企業は技術的な対策に加え、従業員が攻撃の特徴を理解し、不審な認証要求を見抜けるよう継続的な教育を実施することが重要です。
こうした背景をふまえ、Selphishでは認証コードを入力させるフィッシングを含む最新の攻撃手法を再現したメール攻撃訓練テンプレートをご用意しています。「攻撃で利用される典型的なメール文面」および「コード入力を促す不審な誘導」を疑似体験することで、「正規の認証サイトが利用されていても被害につながる可能性がある」ことを学んでいただけます。従業員のセキュリティ意識向上や対応力強化にぜひご活用ください。
▼アカウント安全性確認を装ったメールテンプレート
▼フィッシング詐欺フォーム「コード入力を誘導する不審な誘導」
