C
月内に
Microsoft 365 (M365) の認証トークンを窃取し、多要素認証 (MFA) を回避するフィッシング攻撃が増加しています
📌 一言でいうと
Microsoft 365 (M365) の認証トークンを窃取し、多要素認証 (MFA) を回避するフィッシング攻撃が増加しています。特に「Kali365」や「EvilTokens」といったツールキットの普及により、技術力の低い攻撃者でも高度なトークン窃取攻撃が可能になっています。AI生成の誘い文句や巧妙な偽装ページが利用されており、従来のMFAのみに頼る防御策では不十分であると警告されています。
🔍該当判定
- Microsoft 365 (M365) を社内で利用している
- M365のログインに多要素認証 (MFA) を導入しているが、それ以外の追加制限(条件付きアクセス等)を設定していない
- Adobe Acrobat Sign や DocuSign などの電子署名サービスを業務で利用している
- 社員が社外からM365へアクセスできる環境にある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 条件付きアクセスを用いてMicrosoft OAuthデバイスコード認証フローを制限する。2. OAuthトークンの能動的な取り消しを実施する。3. 異常なデバイス登録や悪意のある受信トレイルールの監視を強化する。4. フィッシング検知に重点を置いた全社員向けセキュリティ意識トレーニングを実施する。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft 365への不審なログイン要求にご注意ください
お疲れさまです。情報システム担当です。
最近、Microsoft 365の認証情報を盗み出し、多要素認証(MFA)を突破する巧妙なフィッシングメールが増加しています。
ご協力をお願いしたいこと:
1. 心当たりのないメールに記載されたリンクをクリックしたり、認証コードを入力したりしないでください。
2. 普段と異なるログイン画面や、不自然な認証要求が表示された場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中(確認をお願いします)
お疲れさまです。情報システム担当です。
最近、Microsoft 365の認証情報を盗み出し、多要素認証(MFA)を突破する巧妙なフィッシングメールが増加しています。
ご協力をお願いしたいこと:
1. 心当たりのないメールに記載されたリンクをクリックしたり、認証コードを入力したりしないでください。
2. 普段と異なるログイン画面や、不自然な認証要求が表示された場合は、すぐに情報システム担当まで報告してください。
対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Beware of Suspicious Microsoft 365 Login Requests
Dear all,
We have observed an increase in sophisticated phishing attacks designed to steal Microsoft 365 authentication tokens and bypass multi-factor authentication (MFA).
What we need from you:
1. Do not click links or enter authentication codes in emails from unknown or suspicious senders.
2. If you encounter an unusual login screen or an unexpected authentication request, please report it to the IT security team immediately.
Deadline: Immediate
Dear all,
We have observed an increase in sophisticated phishing attacks designed to steal Microsoft 365 authentication tokens and bypass multi-factor authentication (MFA).
What we need from you:
1. Do not click links or enter authentication codes in emails from unknown or suspicious senders.
2. If you encounter an unusual login screen or an unexpected authentication request, please report it to the IT security team immediately.
Deadline: Immediate
件名: 【共有】M365認証トークン窃取ツール(Kali365/EvilTokens)への対応について
お疲れさまです。M365のMFAを回避するトークン窃取攻撃に関する情報共有です。
■ 概要
Kali365やEvilTokensなどのフィッシングキットにより、OAuthトークンを窃取してMFAをバイパスする攻撃が急増しています。AIによる誘い文句の生成や、デバイスコードフィッシングなどの手法が用いられており、攻撃のハードルが著しく低下しています。
■ 影響範囲
- Microsoft 365 (M365) 利用ユーザー全体
■ 対応手順
1. 条件付きアクセス(Conditional Access)の設定を見直し、OAuthデバイスコード認証フローを制限する。
2. 疑わしいセッションや不要なOAuthトークンの能動的な取り消しを実施する。
3. 異常なデバイス登録および不審なメール転送ルールの作成を監視する。
■ 参考情報
- FBIおよびSekoia, Arctic Wolf等のレポート
対応優先度: 高
対応期限: 速やかに設定確認を推奨
お疲れさまです。M365のMFAを回避するトークン窃取攻撃に関する情報共有です。
■ 概要
Kali365やEvilTokensなどのフィッシングキットにより、OAuthトークンを窃取してMFAをバイパスする攻撃が急増しています。AIによる誘い文句の生成や、デバイスコードフィッシングなどの手法が用いられており、攻撃のハードルが著しく低下しています。
■ 影響範囲
- Microsoft 365 (M365) 利用ユーザー全体
■ 対応手順
1. 条件付きアクセス(Conditional Access)の設定を見直し、OAuthデバイスコード認証フローを制限する。
2. 疑わしいセッションや不要なOAuthトークンの能動的な取り消しを実施する。
3. 異常なデバイス登録および不審なメール転送ルールの作成を監視する。
■ 参考情報
- FBIおよびSekoia, Arctic Wolf等のレポート
対応優先度: 高
対応期限: 速やかに設定確認を推奨
Subject: [Technical Alert] Mitigation for M365 Token Theft (Kali365/EvilTokens)
Dear Admin Team,
This is a technical alert regarding the rise of phishing kits targeting M365 authentication tokens to bypass MFA.
■ Overview
Toolkits such as Kali365 and EvilTokens enable attackers to steal OAuth tokens via Adversary-in-the-Middle (AiTM) and device code phishing. The use of AI-generated lures and modular phishing pages has significantly lowered the technical barrier for attackers.
■ Scope
- All Microsoft 365 (M365) environments
■ Mitigation Steps
1. Restrict Microsoft OAuth device code authentication flows via Conditional Access policies.
2. Proactively revoke suspicious or unnecessary OAuth tokens.
3. Monitor for anomalous device registrations and malicious inbox rules.
■ Reference
- Reports from FBI, Sekoia, and Arctic Wolf
Priority: High
Deadline: Immediate review recommended
Dear Admin Team,
This is a technical alert regarding the rise of phishing kits targeting M365 authentication tokens to bypass MFA.
■ Overview
Toolkits such as Kali365 and EvilTokens enable attackers to steal OAuth tokens via Adversary-in-the-Middle (AiTM) and device code phishing. The use of AI-generated lures and modular phishing pages has significantly lowered the technical barrier for attackers.
■ Scope
- All Microsoft 365 (M365) environments
■ Mitigation Steps
1. Restrict Microsoft OAuth device code authentication flows via Conditional Access policies.
2. Proactively revoke suspicious or unnecessary OAuth tokens.
3. Monitor for anomalous device registrations and malicious inbox rules.
■ Reference
- Reports from FBI, Sekoia, and Arctic Wolf
Priority: High
Deadline: Immediate review recommended