B
今週中
Microsoft Azureを標的とした新しいOAuth悪用攻撃「ConsentFix v3」
📌 一言でいうと
Microsoft Azureを標的とした新しいOAuth悪用攻撃「ConsentFix v3」が確認されました。この攻撃は、ユーザーを騙して信頼されたMicrosoftアプリの認証フローを完了させ、MFAを回避してアカウントを乗っ取ります。v3では自動化とスケーラビリティが向上しており、より広範囲な攻撃が可能になっています。
🏢影響範囲
Microsoft Azureを利用している全ての組織およびユーザー
✅該当時の対応
不審なURLへのアクセスや、指示されたコマンドの実行を禁止する。OAuthアプリの権限付与に関する監視を強化し、不審なサードパーティアプリの承認を制限する。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なログイン画面や操作指示への注意について
お疲れさまです。情報システム担当です。
Microsoft Azureなどのアカウント情報を盗み出す、巧妙なフィッシング攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手から送られてきたURLをクリックしたり、指示された文字列をブラウザに貼り付けたりしないでください。
2. ログイン時に「アプリの権限承認」を求められた際、心当たりがない場合はすぐに中断し、システム担当までご連絡ください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
Microsoft Azureなどのアカウント情報を盗み出す、巧妙なフィッシング攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手から送られてきたURLをクリックしたり、指示された文字列をブラウザに貼り付けたりしないでください。
2. ログイン時に「アプリの権限承認」を求められた際、心当たりがない場合はすぐに中断し、システム担当までご連絡ください。
対応期限: 本日中
Subject: [Security Alert] Beware of Suspicious Login Requests and Instructions
Dear employees,
We have detected sophisticated phishing attacks targeting Microsoft Azure accounts.
What we need from you:
1. Do not click on URLs from unknown senders or paste any provided strings into your browser.
2. If you are asked to grant permissions to an application during login and you are unsure why, stop immediately and contact the IT department.
Deadline: Immediate
Dear employees,
We have detected sophisticated phishing attacks targeting Microsoft Azure accounts.
What we need from you:
1. Do not click on URLs from unknown senders or paste any provided strings into your browser.
2. If you are asked to grant permissions to an application during login and you are unsure why, stop immediately and contact the IT department.
Deadline: Immediate
件名: 【共有】ConsentFix v3によるAzure OAuth悪用攻撃への対応について
お疲れさまです。ConsentFix v3に関する情報共有です。
■ 概要
OAuth2の認可コードフローを悪用し、信頼された第一パーティアプリを介してMFAをバイパスしアカウントを乗っ取る攻撃です。v3では自動化が導入され、攻撃のスケールが拡大しています。
■ 影響範囲
- Microsoft Azure / Microsoft 365 利用ユーザー
■ 対応手順
1. Azure AD (Entra ID) におけるユーザーによるアプリ同意設定(User Consent)を制限し、管理者の承認を必須とする。
2. 異常なOAuthトークンの発行や、不審なサービスプリンシパルの追加がないか監査ログを確認する。
3. ユーザーに対し、localhost URLなどの不審な入力を促すソーシャルエンジニアリングへの注意喚起を行う。
■ 参考情報
- Push Security / John Hammond's research
対応優先度: 高
対応期限: 今週中
お疲れさまです。ConsentFix v3に関する情報共有です。
■ 概要
OAuth2の認可コードフローを悪用し、信頼された第一パーティアプリを介してMFAをバイパスしアカウントを乗っ取る攻撃です。v3では自動化が導入され、攻撃のスケールが拡大しています。
■ 影響範囲
- Microsoft Azure / Microsoft 365 利用ユーザー
■ 対応手順
1. Azure AD (Entra ID) におけるユーザーによるアプリ同意設定(User Consent)を制限し、管理者の承認を必須とする。
2. 異常なOAuthトークンの発行や、不審なサービスプリンシパルの追加がないか監査ログを確認する。
3. ユーザーに対し、localhost URLなどの不審な入力を促すソーシャルエンジニアリングへの注意喚起を行う。
■ 参考情報
- Push Security / John Hammond's research
対応優先度: 高
対応期限: 今週中
Subject: [Technical Alert] Mitigation of ConsentFix v3 Azure OAuth Abuse
Dear Security Team,
This is a technical briefing regarding the ConsentFix v3 attack.
■ Overview
ConsentFix v3 abuses the OAuth2 authorization code flow by targeting pre-trusted first-party Microsoft apps. It allows attackers to bypass MFA and hijack accounts. The v3 iteration focuses on automation and scalability.
■ Scope
- All users within Microsoft Azure / Microsoft 365 environments.
■ Mitigation Steps
1. Restrict user consent for apps in Entra ID and require administrator approval for app permissions.
2. Review audit logs for anomalous OAuth token issuance or unauthorized service principal creation.
3. Educate users against social engineering tactics that involve pasting localhost URLs into browsers.
■ Reference
- Push Security / John Hammond's research
Priority: High
Deadline: End of this week
Dear Security Team,
This is a technical briefing regarding the ConsentFix v3 attack.
■ Overview
ConsentFix v3 abuses the OAuth2 authorization code flow by targeting pre-trusted first-party Microsoft apps. It allows attackers to bypass MFA and hijack accounts. The v3 iteration focuses on automation and scalability.
■ Scope
- All users within Microsoft Azure / Microsoft 365 environments.
■ Mitigation Steps
1. Restrict user consent for apps in Entra ID and require administrator approval for app permissions.
2. Review audit logs for anomalous OAuth token issuance or unauthorized service principal creation.
3. Educate users against social engineering tactics that involve pasting localhost URLs into browsers.
■ Reference
- Push Security / John Hammond's research
Priority: High
Deadline: End of this week