C
月内に
FBIは、Microsoft 365アカウントを標的としたフィッシングサービス「Kali365」について警告しています
📌 一言でいうと
FBIは、Microsoft 365アカウントを標的としたフィッシングサービス「Kali365」について警告しています。このプラットフォームはOAuth 2.0のデバイスコード認証フローを悪用し、セッション・トークンを窃取することで多要素認証(MFA)をバイパスします。攻撃者はTelegramを通じてこのサービスを配布しており、パスワードを盗まずにアカウントへのアクセス権を取得することが可能です。
🔍該当判定
- 社内で Microsoft 365 (旧 Office 365) を利用している
- Microsoft Entra ID (旧 Azure AD) でアカウント管理を行っている
- 社員が「microsoft.com/devicelogin」というURLにアクセスし、コードを入力する操作を行う可能性がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
デバイスコード認証(microsoft.com/devicelogin)を利用した不審な認証要求に注意し、心当たりのないコード入力要求があった場合は無視すること。また、管理者は不審なデバイス登録やOAuth権限の付与を監視することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft 365アカウントを狙った巧妙なフィッシング詐欺について
お疲れさまです。情報システム担当です。
Microsoft 365のアカウント情報を盗み出す、新しい手口のフィッシング攻撃が確認されています。
攻撃者は「デバイスコード」という仕組みを悪用し、パスワードや多要素認証(MFA)を回避してアカウントに不正アクセスしようとします。
ご協力をお願いしたいこと:
1. 心当たりのない「デバイスコード」の入力を求めるメールやメッセージが届いた場合、絶対に指示に従わず、URL(microsoft.com/devicelogin 等)にアクセスしてコードを入力しないでください。
2. 不審なメールを受信した場合は、速やかに情報システム担当まで報告してください。
対応期限: 本日中(確認次第)
お疲れさまです。情報システム担当です。
Microsoft 365のアカウント情報を盗み出す、新しい手口のフィッシング攻撃が確認されています。
攻撃者は「デバイスコード」という仕組みを悪用し、パスワードや多要素認証(MFA)を回避してアカウントに不正アクセスしようとします。
ご協力をお願いしたいこと:
1. 心当たりのない「デバイスコード」の入力を求めるメールやメッセージが届いた場合、絶対に指示に従わず、URL(microsoft.com/devicelogin 等)にアクセスしてコードを入力しないでください。
2. 不審なメールを受信した場合は、速やかに情報システム担当まで報告してください。
対応期限: 本日中(確認次第)
Subject: [Security Alert] Phishing Attacks Targeting Microsoft 365 Accounts
Dear employees,
Our IT security team has been alerted to a new phishing technique targeting Microsoft 365 accounts.
Attackers are using a method called "device code phishing" to bypass passwords and multi-factor authentication (MFA) to gain unauthorized access to accounts.
What we need you to do:
1. Do NOT enter any codes on the Microsoft device login page (microsoft.com/devicelogin) if you receive an unexpected request to do so via email or message.
2. If you encounter any suspicious emails or requests, please report them to the IT security team immediately.
Deadline: Immediate
Dear employees,
Our IT security team has been alerted to a new phishing technique targeting Microsoft 365 accounts.
Attackers are using a method called "device code phishing" to bypass passwords and multi-factor authentication (MFA) to gain unauthorized access to accounts.
What we need you to do:
1. Do NOT enter any codes on the Microsoft device login page (microsoft.com/devicelogin) if you receive an unexpected request to do so via email or message.
2. If you encounter any suspicious emails or requests, please report them to the IT security team immediately.
Deadline: Immediate
件名: 【共有】Kali365によるOAuthデバイスコード認証悪用攻撃への対応について
お疲れさまです。Kali365に関する情報共有です。
■ 概要
フィッシングサービス「Kali365」が、Microsoft 365のOAuth 2.0デバイス認証フローを悪用してセッション・トークンを窃取し、MFAをバイパスする攻撃を展開しています。攻撃者はユーザーに microsoft.com/devicelogin でコードを入力させることで、攻撃者の制御下にあるデバイスに認証を紐付けます。
■ 影響範囲
- Microsoft 365 / Microsoft Entra ID 利用ユーザー
■ 対応手順
1. Entra IDのサインインログを確認し、不審なデバイスからのアクセスや、不自然なデバイスコード認証の成功例がないか調査する。
2. ユーザーに対し、心当たりのないデバイスコード入力要求への注意喚起を徹底する。
3. 必要に応じて、条件付きアクセス等のポリシーを見直し、信頼できないデバイスからの認証を制限することを検討する。
■ 参考情報
- FBI PSA (Public Service Announcement)
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Kali365に関する情報共有です。
■ 概要
フィッシングサービス「Kali365」が、Microsoft 365のOAuth 2.0デバイス認証フローを悪用してセッション・トークンを窃取し、MFAをバイパスする攻撃を展開しています。攻撃者はユーザーに microsoft.com/devicelogin でコードを入力させることで、攻撃者の制御下にあるデバイスに認証を紐付けます。
■ 影響範囲
- Microsoft 365 / Microsoft Entra ID 利用ユーザー
■ 対応手順
1. Entra IDのサインインログを確認し、不審なデバイスからのアクセスや、不自然なデバイスコード認証の成功例がないか調査する。
2. ユーザーに対し、心当たりのないデバイスコード入力要求への注意喚起を徹底する。
3. 必要に応じて、条件付きアクセス等のポリシーを見直し、信頼できないデバイスからの認証を制限することを検討する。
■ 参考情報
- FBI PSA (Public Service Announcement)
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] OAuth Device Code Phishing via Kali365
Dear IT/Security Team,
We are sharing information regarding the Kali365 phishing-as-a-service (PhaaS) platform.
■ Overview
Kali365 abuses the Microsoft OAuth 2.0 Device Authorization grant flow to steal session tokens. By tricking users into entering a device code at microsoft.com/devicelogin, attackers can bypass MFA and gain full access to Microsoft 365 and Entra ID accounts.
■ Scope
- All users of Microsoft 365 and Microsoft Entra ID.
■ Mitigation Steps
1. Review Entra ID sign-in logs for anomalous device code authentication events.
2. Educate users specifically about the dangers of entering device codes upon unsolicited requests.
3. Evaluate Conditional Access policies to restrict authentication from untrusted or non-compliant devices.
■ Reference
- FBI PSA
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding the Kali365 phishing-as-a-service (PhaaS) platform.
■ Overview
Kali365 abuses the Microsoft OAuth 2.0 Device Authorization grant flow to steal session tokens. By tricking users into entering a device code at microsoft.com/devicelogin, attackers can bypass MFA and gain full access to Microsoft 365 and Entra ID accounts.
■ Scope
- All users of Microsoft 365 and Microsoft Entra ID.
■ Mitigation Steps
1. Review Entra ID sign-in logs for anomalous device code authentication events.
2. Educate users specifically about the dangers of entering device codes upon unsolicited requests.
3. Evaluate Conditional Access policies to restrict authentication from untrusted or non-compliant devices.
■ Reference
- FBI PSA
Priority: High
Deadline: Immediate