B
今週中
悪意あるツール「DEBULL」が、Microsoftの正当なOAuthデバイス認証フローを悪用してMicrosoft 365アカウントを乗っ取る手法
📌 一言でいうと
悪意あるツール「DEBULL」が、Microsoftの正当なOAuthデバイス認証フローを悪用してMicrosoft 365アカウントを乗っ取る手法が判明しました。攻撃者はフィッシングメールでユーザーを誘導し、攻撃者が生成したデバイスコードを入力させることで、多要素認証(MFA)を回避してアクセス権限を取得します。このツールは「フィッシング即サービス(PhaaS)」として提供されている可能性があり、GraphSpyなどの後利用ツールと組み合わせて使用されると考えられています。
🔍該当判定
- 社内でMicrosoft 365(旧Office 365)を利用している
- 社員が社外からメールやTeamsなどのMicrosoftサービスにアクセスしている
- 社員が「共有フォルダ」や「支払い書類」などの件名のメールを日常的に受信する
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. ユーザーに対し、Microsoftの正当なログインページであっても、第三者から指示された「デバイスコード」を安易に入力しないよう注意喚起を行う。 2. 不審なリンクを含むメールの開封を禁止し、社内フィッシング訓練を強化する。 3. 条件付きアクセスなどのセキュリティポリシーを見直し、デバイス認証フローの制限を検討する。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft 365アカウントを狙った巧妙なフィッシング攻撃について
お疲れさまです。情報システム担当です。
Microsoft 365のログイン機能を悪用し、アカウントを乗っ取ろうとする新しい攻撃手法が確認されました。
ご協力をお願いしたいこと:
1. メールで送られてきたリンクから、指示された「デバイスコード(数字や英字のコード)」をMicrosoftの画面に入力しないでください。
2. 心当たりのない「共有フォルダ」や「支払い書類」などの通知メールにあるリンクはクリックしないでください。
対応期限: 本日中(確認次第、徹底をお願いします)
お疲れさまです。情報システム担当です。
Microsoft 365のログイン機能を悪用し、アカウントを乗っ取ろうとする新しい攻撃手法が確認されました。
ご協力をお願いしたいこと:
1. メールで送られてきたリンクから、指示された「デバイスコード(数字や英字のコード)」をMicrosoftの画面に入力しないでください。
2. 心当たりのない「共有フォルダ」や「支払い書類」などの通知メールにあるリンクはクリックしないでください。
対応期限: 本日中(確認次第、徹底をお願いします)
Subject: [Security Alert] Sophisticated Phishing Attacks Targeting Microsoft 365 Accounts
Dear employees,
A new attack method has been identified that abuses Microsoft 365 login features to hijack user accounts.
What you need to do:
1. Never enter a "Device Code" (a string of numbers/letters) provided by someone else into a Microsoft login screen.
2. Do not click links in unexpected emails regarding "shared folders," "payment documents," or "collaboration notifications."
Deadline: Immediate
Dear employees,
A new attack method has been identified that abuses Microsoft 365 login features to hijack user accounts.
What you need to do:
1. Never enter a "Device Code" (a string of numbers/letters) provided by someone else into a Microsoft login screen.
2. Do not click links in unexpected emails regarding "shared folders," "payment documents," or "collaboration notifications."
Deadline: Immediate