C
月内に
EvilTokensと呼ばれる高度なフィッシングキットが、デバイスコード認証(Device Code Flow)を悪用して多要素認証(MFA)を回避し…
📌 一言でいうと
EvilTokensと呼ばれる高度なフィッシングキットが、デバイスコード認証(Device Code Flow)を悪用して多要素認証(MFA)を回避し、ビジネスメール詐欺(BEC)を完結させる環境を提供していることが判明しました。このキットは、標的を偽のログインページに誘導し、攻撃者が生成したデバイスコードを入力させることで、標的のアカウントへのアクセス権を奪取します。さらに、奪取したアカウントを用いてメールの読み書きや転送設定の変更を行い、組織内でのなりすまし攻撃を容易にします。
🔍該当判定
- Microsoft 365やGoogle Workspaceなどのクラウドサービスを社内で利用している
- 社員がPCやスマホで、画面に表示されたコードをWebサイトに入力してログインする『デバイスコード認証』を利用している
- 不審なメールに記載されたURLをクリックし、ログイン画面や認証コード入力画面が表示された
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. デバイスコード認証(Device Code Flow)を組織内で不要な場合は無効化することを検討してください。2. ユーザーに対し、身に覚えのない「デバイスコード」の入力を求める画面が表示された場合は絶対に入力しないよう教育を徹底してください。3. 不審なメール転送ルールの作成や、未知のデバイスからのログイン履歴がないか監視を強化してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審な「デバイスコード」入力画面への注意について
お疲れさまです。情報システム担当です。
最近、Microsoft 365などのログイン時に「デバイスコード」の入力を求め、アカウント情報を盗み出す巧妙なフィッシング攻撃が確認されています。
ご協力をお願いしたいこと:
1. メールやWebサイトで「デバイスコードを入力してください」という指示が出ても、心当たりがない場合は絶対に入力しないでください。
2. 不審なメールのリンクをクリックして、ログイン画面が表示された場合はすぐにブラウザを閉じてください。
3. 万が一、コードを入力してしまった場合は、直ちに情報システム担当まで報告してください。
対応期限: 本日中(確認をお願いします)
お疲れさまです。情報システム担当です。
最近、Microsoft 365などのログイン時に「デバイスコード」の入力を求め、アカウント情報を盗み出す巧妙なフィッシング攻撃が確認されています。
ご協力をお願いしたいこと:
1. メールやWebサイトで「デバイスコードを入力してください」という指示が出ても、心当たりがない場合は絶対に入力しないでください。
2. 不審なメールのリンクをクリックして、ログイン画面が表示された場合はすぐにブラウザを閉じてください。
3. 万が一、コードを入力してしまった場合は、直ちに情報システム担当まで報告してください。
対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Beware of Suspicious 'Device Code' Requests
Hi everyone,
We have observed a rise in sophisticated phishing attacks that trick users into entering a 'Device Code' to steal account access to services like Microsoft 365.
What we need from you:
1. Never enter a 'Device Code' on any page if you did not personally initiate a device pairing process.
2. If you encounter a login screen after clicking a suspicious link, close your browser immediately.
3. If you believe you have already entered such a code, please report it to the IT security team immediately.
Deadline: Immediate
Hi everyone,
We have observed a rise in sophisticated phishing attacks that trick users into entering a 'Device Code' to steal account access to services like Microsoft 365.
What we need from you:
1. Never enter a 'Device Code' on any page if you did not personally initiate a device pairing process.
2. If you encounter a login screen after clicking a suspicious link, close your browser immediately.
3. If you believe you have already entered such a code, please report it to the IT security team immediately.
Deadline: Immediate