ハッカーは、電子メールやブラウザのフィッシング保護を迂回し、ユーザーを悪意のあるページに誘導するために、正当なOAuthリダイレクトメカニズムを悪用している。
この攻撃は、悪意のあるアプリケーションへの認証をユーザーに促すフィッシングリンクで、政府機関や公共機関を標的にしているとMicrosoft Defenderの研究者は述べている。
電子署名の要求、社会保障に関する通知、会議の招待状、パスワードのリセット、OAuthリダイレクトURLを含む様々な金融や政治に関するトピックなどです。この URL は、検出を回避するために PDF ファイルに埋め込まれていることもあります。
ソースはこちら:マイクロソフト
危険なリダイレクトの強制
OAuthアプリケーションは、Microsoft Entra IDなどのIDプロバイダに登録され、OAuth 2.0プロトコルを活用して、ユーザーデータやリソースへの委任されたアクセスやアプリケーションレベルのアクセスを取得します。
マイクロソフトが観測したキャンペーンでは、攻撃者は自分たちがコントロールするテナント内に悪意のある OAuth アプリケーションを作成し、自分たちのインフラストラクチャを指すリダイレクト URI を設定します。
研究者によると、Entra ID の URL が正規の認証リクエストのように見えても、エンドポイントは対話型ログインを伴わないサイレント認証用のパラメータと、認証エラーを引き起こす無効なスコープで呼び出される。これによりIDプロバイダは、攻撃者が設定したリダイレクトURIにユーザーをリダイレクトさせる。
場合によっては、被害者はEvilProxyのような中間者攻撃フレームワークが提供するフィッシング・ページにリダイレクトされ、有効なセッション・クッキーを傍受して多要素認証(MFA)保護をバイパスすることができる。
マイクロソフトは、「state」パラメータが悪用され、フィッシング・ページの認証情報ボックスに被害者の電子メールアドレスが自動入力され、正当性が増していることを発見しました。
Source:マイクロソフト
その他のケースでは、被害者は「/download」パスにリダイレクトされ、悪意のあるショートカット(.LNK)ファイルとHTML密輸ツールを含むZIPファイルが自動的に配信されます。
.LNKを開くとPowerShellが起動し、侵害されたホスト上で偵察を行い、次のステップであるDLLのサイドローディングに必要なコンポーネントを抽出します。
悪意のあるDLL(crashhandler.dll)が解読し、最終的なペイロード(crashlog.dat)をメモリにロードする一方で、正規の実行ファイル(stream_monitor.exe)が被害者の注意をそらすためのおとりファイルをロードします。
Source:マイクロソフト
マイクロソフトは、組織がOAuthアプリケーションのパーミッションを厳格化し、強力なアイデンティティ保護と条件付きアクセスポリシーを実施し、電子メール、アイデンティティ、エンドポイントにわたってクロスドメイン検出を使用することを示唆している。
同社は、今回確認された攻撃は、OAuthフレームワークの意図された動作を悪用したIDベースの脅威であり、リダイレクトによる認証エラーの管理方法を定義する標準によって規定されたとおりに動作すると強調している。
研究者は、実際の攻撃の一環として、scopeやprompt=noneなどの無効なパラメータを使用して OAuth エラーをトリガーし、サイレントエラーリダイレクトを強制していることを警告しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
レッドレポート2026:ランサムウェアの暗号化が38%減少した理由
マルウェアはますます賢くなっています。レッドレポート2026では、新しい脅威がどのように数学を使ってサンドボックスを検出し、目に見えないところに隠れているかを明らかにしています。
110万件の悪意のあるサンプルの分析結果をダウンロードして、トップ10のテクニックを明らかにし、セキュリティ・スタックが盲点になっていないか確認してください。
Comments