C
月内に
OAuth同意プロセスを悪用してMFAをバイパスする「同意フィッシング(Consent Phishing)」の手法
📌 一言でいうと
OAuth同意プロセスを悪用してMFAをバイパスする「同意フィッシング(Consent Phishing)」の手法が報告されました。攻撃者はEvilTokensというPhaaSプラットフォームを用い、ユーザーにデバイスコード認証を促すことで、パスワードなしでメールやカレンダーへのアクセス権を持つリフレッシュトークンを窃取します。この攻撃は通常のサインインイベントとして記録されないため、検知が困難なのが特徴です。
🏢影響範囲
Microsoft 365を利用している全世界の組織
✅該当時の対応
1. ユーザーに対し、身に覚えのないアプリケーションからの権限要求(同意画面)を承認しないよう教育を徹底すること。 2. 管理者は、不審なサードパーティアプリケーションの登録を制限し、OAuthアプリの同意設定を厳格に管理すること。 3. 異常な権限を持つアプリケーションの定期的な監査を実施すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審な「アクセス許可」画面への同意について
お疲れさまです。情報システム担当です。
最近、Microsoft 365などのサービスで、偽のアプリに権限を与えることで情報を盗み出す攻撃が確認されています。
ご協力をお願いしたいこと:
1. 「このアプリがあなたのデータへのアクセスを求めています」といった同意画面が表示された際、心当たりがない場合は絶対に「承諾」を押さないでください。
2. 不審なメールに記載されたURLから、コードの入力を求められた場合はすぐに中断し、システム担当までご連絡ください。
対応期限: 本日中(確認次第)
お疲れさまです。情報システム担当です。
最近、Microsoft 365などのサービスで、偽のアプリに権限を与えることで情報を盗み出す攻撃が確認されています。
ご協力をお願いしたいこと:
1. 「このアプリがあなたのデータへのアクセスを求めています」といった同意画面が表示された際、心当たりがない場合は絶対に「承諾」を押さないでください。
2. 不審なメールに記載されたURLから、コードの入力を求められた場合はすぐに中断し、システム担当までご連絡ください。
対応期限: 本日中(確認次第)
Subject: [Security Alert] Beware of Suspicious App Permission Requests
Hi everyone,
We have observed an increase in phishing attacks that trick users into granting permissions to malicious applications to steal data.
What we need from you:
1. Never click 'Accept' or 'Consent' on a permission request screen if you do not recognize the application.
2. If you are asked to enter a short code on a Microsoft login page via a link in an email, stop immediately and report it to the IT team.
Deadline: Immediate
Hi everyone,
We have observed an increase in phishing attacks that trick users into granting permissions to malicious applications to steal data.
What we need from you:
1. Never click 'Accept' or 'Consent' on a permission request screen if you do not recognize the application.
2. If you are asked to enter a short code on a Microsoft login page via a link in an email, stop immediately and report it to the IT team.
Deadline: Immediate
件名: 【共有】OAuth同意プロセスを悪用したMFAバイパス攻撃について
お疲れさまです。OAuth同意プロセスを悪用した「同意フィッシング」に関する情報共有です。
■ 概要
攻撃者がEvilTokensというPhaaSを利用し、デバイスコードフローを用いてユーザーに不正なOAuth権限を付与させる攻撃です。パスワードを窃取せず、リフレッシュトークンを直接取得するため、従来のMFAやサインインログによる検知を回避します。
■ 影響範囲
- Microsoft 365 テナント
■ 対応手順
1. Azure AD (Microsoft Entra ID) の「ユーザーの同意設定」を確認し、不必要なアプリの同意を制限する。
2. 既存のエンタープライズアプリケーションを監査し、過剰な権限(Mail.Read, Files.ReadWrite.All等)を持つ不審なアプリを削除する。
3. 条件付きアクセス等のポリシーを見直し、未承認アプリのアクセスを制限する。
■ 参考情報
- The Hacker News: The New Phishing Click: How OAuth Consent Bypasses MFA
対応優先度: 高
対応期限: 今週中
お疲れさまです。OAuth同意プロセスを悪用した「同意フィッシング」に関する情報共有です。
■ 概要
攻撃者がEvilTokensというPhaaSを利用し、デバイスコードフローを用いてユーザーに不正なOAuth権限を付与させる攻撃です。パスワードを窃取せず、リフレッシュトークンを直接取得するため、従来のMFAやサインインログによる検知を回避します。
■ 影響範囲
- Microsoft 365 テナント
■ 対応手順
1. Azure AD (Microsoft Entra ID) の「ユーザーの同意設定」を確認し、不必要なアプリの同意を制限する。
2. 既存のエンタープライズアプリケーションを監査し、過剰な権限(Mail.Read, Files.ReadWrite.All等)を持つ不審なアプリを削除する。
3. 条件付きアクセス等のポリシーを見直し、未承認アプリのアクセスを制限する。
■ 参考情報
- The Hacker News: The New Phishing Click: How OAuth Consent Bypasses MFA
対応優先度: 高
対応期限: 今週中
Subject: [Technical Alert] MFA Bypass via OAuth Consent Phishing
Dear Security Team,
This is a technical briefing regarding 'Consent Phishing' (OAuth grant abuse).
■ Overview
Attackers are using a PhaaS platform called EvilTokens to trick users into granting OAuth permissions via the device code flow. By obtaining a refresh token scoped to mail, drive, and calendar, they bypass MFA and avoid triggering traditional intrusion alerts in sign-in logs.
■ Scope
- Microsoft 365 Tenants
■ Mitigation Steps
1. Review and restrict 'User consent to apps' settings in Microsoft Entra ID.
2. Audit existing enterprise applications for suspicious apps with high-privilege scopes (e.g., Mail.Read).
3. Implement stricter conditional access policies to limit unauthorized application access.
■ Reference
- The Hacker News: The New Phishing Click: How OAuth Consent Bypasses MFA
Priority: High
Deadline: End of this week
Dear Security Team,
This is a technical briefing regarding 'Consent Phishing' (OAuth grant abuse).
■ Overview
Attackers are using a PhaaS platform called EvilTokens to trick users into granting OAuth permissions via the device code flow. By obtaining a refresh token scoped to mail, drive, and calendar, they bypass MFA and avoid triggering traditional intrusion alerts in sign-in logs.
■ Scope
- Microsoft 365 Tenants
■ Mitigation Steps
1. Review and restrict 'User consent to apps' settings in Microsoft Entra ID.
2. Audit existing enterprise applications for suspicious apps with high-privilege scopes (e.g., Mail.Read).
3. Implement stricter conditional access policies to limit unauthorized application access.
■ Reference
- The Hacker News: The New Phishing Click: How OAuth Consent Bypasses MFA
Priority: High
Deadline: End of this week