ハッカーは、正規のoffice.comリンクとActive Directory Federation Services(ADFS)を組み合わせて、ユーザーをフィッシングページにリダイレクトさせ、Microsoft 365のログイン情報を盗み出すという斬新な手法を使用している。
この手法により、攻撃者は最初のリダイレクトにマイクロソフトのインフラストラクチャー上の信頼できるドメインを利用することで、従来のURLベースの検知と多要素認証プロセスを回避することができる。
信頼されたリダイレクトの正当性
IDベースの攻撃に対する保護ソリューションを提供するPush Security社の研究者は、同社の顧客数社を標的とし、従業員を正規のoutlook.office.comリンクからフィッシング・ウェブサイトにリダイレクトさせた最近のキャンペーンを分析した。
このフィッシング・ページには、検知を妨げるような特別な要素は見受けられませんでしたが、セキュリティ・エージェントの起動を回避するために、信頼できるインフラを利用した配信方法が用いられていました。
プッシュ・セキュリティは、このフィッシング攻撃は、ターゲットがGoogleの検索結果でOffice 265(おそらくタイプミス)の悪意のあるスポンサーリンクをクリックすることから始まったと判断しました。
悪意のある結果をクリックすると、ターゲットはマイクロソフトのOfficeに誘導され、さらに別のドメインbluegraintours[.]comにリダイレクトされ、認証情報を収集するために設定されたフィッシングページにリダイレクトされた。
:プッシュ・セキュリティ
一見したところ、悪意のあるページへの誘導はMicrosoftのoffice.comドメインからのリダイレクトであり、フィッシングメールは関与していないように見えた。
このインシデントを調査したところ、Push Securityの研究者は、「攻撃者がActive Directory Federation Services (ADFS)が設定されたMicrosoftのカスタムテナントを設定していた」ことを発見しました。
ADFSは、Microsoftが提供するシングルサインオン(SSO)ソリューションで、ユーザーは単一のログイン認証情報を使用して、企業ネットワークの内外を問わず、複数のアプリケーションにアクセスすることができます。
このサービスはWindows Server 2025でも引き続き利用可能で、廃止される公式な計画はないが、マイクロソフトはIDおよびアクセス管理(IAM)のためにAzure Active Directory(Azure AD)への移行を顧客に促している。
マイクロソフトのテナントをコントロールすることで、攻撃者はADFSを使用し、IAMプロバイダーとして機能するbluegraintours ドメインから認証リクエストを受け取り、フィッシング・ページでの認証を許可することができた。
:プッシュ・セキュリティ
bluegraintoursサイトはリダイレクト・チェーンの間、ターゲットからは見えないため、攻撃者は偽のブログ記事と、自動化されたスキャナーに合法的に見えるよう十分な詳細情報を詰め込んだ。
この攻撃をさらに分析した結果、脅威者はフィッシング・ページへのアクセスを有効と判断されたターゲットのみに与える条件付き読み込み制限を実装していることが判明した。
ユーザーが条件を満たさない場合、自動的に正規のoffice.comサイトにリダイレクトされると研究者は述べている。
Push Securityの共同設立者兼最高製品責任者であるJacques Louw氏は、これらの攻撃は特定の業界や職種をターゲットにしているようには見えず、脅威行為者が新しい攻撃方法を試している結果である可能性があると語った。
「私たちが見たところ、この攻撃は、Shiny HuntersやScattered Spiderのようなグループが行っているのと同じように、ユーザーに信頼性の高いリンクをクリックさせ、ごく標準的なフィッシング・キットに誘導する斬新なテクニックを試しているグループのようです。
Microsoft ADFSは以前にもフィッシング・キャンペーンで使用されたことがあるが、攻撃者は標的組織のADFSログイン・ページになりすまし、認証情報を盗んでいた。
この種の攻撃から保護するために、Push Securityは、悪意のある場所へのADFSリダイレクトの監視を含む一連の対策を推奨しています。
調査対象となった攻撃は不正広告から始まったものであるため、研究者は企業に対し、悪意のあるドメインやフィッシング・ページへのリダイレクトが判明する可能性があるとして、office.comへのGoogleリダイレクトの広告パラメータをチェックするよう助言している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
パイカス・ブルー・レポート2025年版はこちらパスワード・クラッキングが2倍増加
46%の環境でパスワードがクラックされ、昨年の25%からほぼ倍増。
今すぐPicus Blue Report 2025を入手して、予防、検出、データ流出の傾向に関するその他の調査結果を包括的にご覧ください。
Comments