🔥 この記事の詳細
2026-07-09 更新
C
月内に

Microsoftの「Device Code Flow」メカニズムを悪用したフィッシングキャンペーン

脆弱性🌐 英語ソース
📅 2026-07-09📰 xakep
📌 一言でいうと
Microsoftの「Device Code Flow」メカニズムを悪用したフィッシングキャンペーンが確認されました。攻撃者は被害者に偽の法的文書を確認させるため、正規のMicrosoftサイトで認証コードを入力させ、アカウントへのアクセス権を奪取します。この手法では、ユーザーが自ら正規サイトで認証を行うため、従来のフィッシング検知を回避しやすいのが特徴です。
🔍該当判定
  • Microsoft 365 (旧Office 365) や Azure などの Microsoft アカウントを業務で利用している
  • 社員が「パスワード付きPDF」や「外部からのドキュメント共有」などのメールを日常的に受信する
  • Microsoft の公式ログイン画面で、数字や英字の「デバイスコード」を入力して認証させる操作を社員が行う可能性がある
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なメールに記載されたリンクから、Microsoftの認証ページで「デバイスコード」の入力を求められた場合は、絶対に入力せず、すぐに管理者に報告してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoftアカウントの認証コード入力を求める不審なメールについて

お疲れさまです。情報システム担当です。
正規のMicrosoftサイトを利用して、あなたのアカウント権限を盗み取ろうとする巧妙なフィッシングメールが確認されています。

ご協力をお願いしたいこと:
1. メールで送られてきたリンクから、Microsoftのページで「コード」の入力を求められても、絶対に入力しないでください。
2. 心当たりのない認証要求や、不審なメールを受信した場合は、すぐに情報システム担当までご連絡ください。

対応期限: 本日中
Subject: [Security Alert] Phishing Emails Requesting Microsoft Device Authentication Codes

Dear employees,
We have observed a sophisticated phishing campaign that tricks users into granting account access by entering a code on a legitimate Microsoft authentication page.

What you need to do:
1. NEVER enter an authentication code on a Microsoft page if you were directed there by a suspicious email or link.
2. If you receive an unexpected authentication request or a suspicious email, please report it to the IT security team immediately.

Deadline: Immediate