多要素認証(MFA)を導入しているから安心、という認識が今まさに崩されようとしている。「EvilTokens」と名付けられた新型フィッシングキットは、MicrosoftのデバイスコードAuthentication Flowという正規の認証メカニズムそのものを武器に変え、AIと自動化を組み合わせて大規模な標的型攻撃を可能にしている。MFAを入れた企業が「対策済み」と油断するなかで、静かに侵害が広がっている点が最も深刻だ。

デバイスコード認証の仕組みと悪用の構造

Microsoftのデバイスコードフロー(Device Authorization Grant)は、ブラウザやキーボードを持たないデバイス——スマートTVやIoT機器、プリンター等——向けに設計された認証方式だ。ユーザーは別のデバイスから microsoft.com/devicelogin にアクセスし、表示されたコードを入力することで認証を完了させる。

EvilTokensはこの仕組みを逆手に取る。攻撃者があらかじめデバイスコードを生成し、それをフィッシングメールやTeamsメッセージなどに埋め込んで標的に送りつける。被害者が「正規のサインインページ」だと思ってコードを入力した瞬間、攻撃者側のセッションに有効なアクセストークンとリフレッシュトークンが払い出される。

ここが重要なポイントだ。 被害者は自分のパスワードとMFAを正しく使って認証を完了している。だからこそMFAが役に立たない。払い出されたトークンは長期有効であることも多く、攻撃者はパスワードを知らなくても長期間にわたって企業メールや各種M365サービスに侵入し続けられる。

さらにEvilTokensはAIによるフィッシング文面の自動生成と、攻撃フロー全体の自動化を組み込んでいる。従来の手動攻撃より大幅にスケールアップが可能で、一人の攻撃者が多数の標的を同時並行で狙える構造になっている。

狙われる情報と被害のシナリオ

主たる標的はExchange Online上の企業メールアカウントだ。侵害に成功した後、攻撃者は受信トレイを監視し、財務情報や契約書、社内決裁フローなどを収集する。BEC(ビジネスメール詐欺)への転用や、他社への横展開も容易に行える。

日本企業においても、M365を全社展開しているケースは珍しくなく、Teamsを業務連絡の主軸に置く組織ではフィッシングメッセージが社内連絡に見せかけて届くリスクがある。

実務での対策ポイント

1. デバイスコードフローを条件付きアクセスでブロックする

最も直接的な対策は、必要のない場面でデバイスコードフローそのものを無効化することだ。Microsoft Entra IDの条件付きアクセスポリシーで、デバイスコードフローを使用できる対象を管理デバイスや特定のIPレンジに限定する、もしくは原則ブロックする設定を適用する。多くの一般従業員にとって、このフローを使う正当な理由はほぼない。

2. 継続的アクセス評価(CAE)とトークン有効期間の見直し

アクセストークンのデフォルト有効期間を短縮し、Continuous Access Evaluation(CAE)を有効にする。これにより、不審なセッション変化を検出した際にトークンをリアルタイムで失効させられる。

3. Microsoft Defender for Cloud Apps(MCAS)でトークン利用を監視

異常な地域からのトークン利用や、短時間での大量メール参照などの行動を検出するルールを設定しておく。侵害されていても早期に検知できる体制が欠かせない。

4. 社員教育でデバイスコードフィッシングを周知する

「MFAをきちんと使ったのに侵害された」という事例を共有し、「見覚えのないページにコードを入力しない」という習慣を根付かせる。ITリテラシー研修にこのシナリオを追加することを強く推奨する。

筆者の見解

セキュリティの話題は細かい議論になりがちで、正直あまり得意なジャンルではない——とはいえ、このトピックには技術的に強い関心を持っている。

EvilTokensが突いているのは、Microsoftが「利便性のために設計した正規機能」だ。悪意あるコードが混入したわけでも、脆弱性を突かれたわけでもない。ゼロトラストの観点からすれば、これは「デフォルトで過剰な信頼を与えてしまっているフロー」の問題に他ならない。必要な人だけが、必要なときだけ使える——そのJust-In-Timeの思想が徹底されていれば、攻撃面を大幅に削れる。

MicrosoftはEntra IDに条件付きアクセスやCAEといった強力な制御手段を持っている。問題は、それらの設定が「やろうと思えばできる」状態に留まっていて、多くの組織でデフォルトのまま放置されている点だ。「今動いているから大丈夫」という空気がある限り、こうした攻撃は静かに成功し続ける。

Microsoftにはゼロトラストの理念をより積極的に「デフォルト設定」へ組み込んでいってほしい。設定しなければセキュアにならないのではなく、設定しなくてもある程度セキュアである——そのベースラインを引き上げる力は、Microsoftには十分にあるはずだ。

出典: この記事は EvilTokens Phishing Kit Uses Microsoft Device Codes to Bypass MFA の内容をもとに、筆者の見解を加えて独自に執筆したものです。