🔥 この記事の詳細
2026-07-17 更新
C
月内に

攻撃者がパスワードやクッキーの窃取に代わり、OAuthトークンを盗み出すことで持続的なアクセスを確保する手法について解説しています

脆弱性🌐 英語ソース
📅 2026-07-17📰 kaspersky_ru
📌 一言でいうと
攻撃者がパスワードやクッキーの窃取に代わり、OAuthトークンを盗み出すことで持続的なアクセスを確保する手法について解説しています。OAuthを利用すると、パスワード変更後もアクセス権を維持でき、デバイス検証などのセキュリティ対策を回避できる可能性があります。組織は、不審なアプリケーションの認可を監視し、最小権限の原則を適用することが重要です。
🔍該当判定
  • Google WorkspaceやMicrosoft 365などのクラウドメールを利用している
  • 外部アプリや連携サービスに「Googleでログイン」や「Microsoftアカウントでサインイン」などのOAuth連携を許可している
  • 社内で利用しているサードパーティ製アプリに、メールの読み書き権限を付与している
上記いずれにも該当しない → 静観でOK
該当時の対応
1. ユーザーによるサードパーティアプリへの過剰な権限付与を制限する。2. 不審なOAuthアプリケーションの認可ログを監視する。3. 定期的に不要なアプリケーションのアクセス権限をレビューし、削除する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OAuthトークン窃取による持続的アクセスへの対策について

お疲れさまです。OAuthトークンを悪用した攻撃手法に関する情報共有です。

■ 概要
攻撃者がパスワードやセッションクッキーではなく、OAuthトークンを窃取することで、パスワード変更後も持続的にアカウントへアクセスする手法が確認されています。これにより、従来のパスワードリセットによる排除が困難になります。

■ 影響範囲
- OAuth 2.0 を利用して外部アプリと連携しているクラウドサービス(M365, Google Workspace等)

■ 対応手順
1. 管理コンソールにて、不審なサードパーティアプリケーションへの権限付与がないか確認する。
2. ユーザーが任意のアプリケーションに権限を付与できないよう、管理者の承認フローを導入または強化する。
3. 不要なアプリケーションのトークンを強制的に失効させる。

■ 参考情報
- Kaspersky Blog

対応優先度: 中
対応期限: 次回セキュリティレビュー時
Subject: [Info] Mitigating Persistent Access via OAuth Token Theft

Dear Team,

We are sharing information regarding attack techniques that leverage OAuth tokens for persistent access.

■ Overview
Attackers are increasingly stealing OAuth tokens instead of passwords or session cookies. This allows them to maintain access to accounts even after a password reset, bypassing traditional remediation steps.

■ Scope
- Cloud services utilizing OAuth 2.0 for third-party app integration (e.g., Microsoft 365, Google Workspace).

■ Action Plan
1. Review the administration console for any unauthorized or suspicious third-party application authorizations.
2. Implement or strengthen admin approval workflows to prevent users from granting permissions to untrusted apps.
3. Revoke tokens for any unnecessary or suspicious applications.

■ Reference
- Kaspersky Blog

Priority: Medium
Deadline: Next security review