米連邦捜査局(FBI)は2026年5月、Microsoft 365アカウントを標的にしたフィッシングサービス「Kali365」に関する公式警告(PSA)を発出した。このサービスはOAuth 2.0のデバイスコード認証フローを悪用し、多要素認証(MFA)を回避してセッショントークンを窃取する、2026年4月に登場した新手の脅威だ。
デバイスコード認証とは何か
問題の核心にあるのは、MicrosoftのOAuth 2.0「Device Authorization Grant」フローだ。これはスマートTV、会議室システム、プリンター、IoTデバイスのように入力手段が限られた機器でも、別デバイスを使って認証を完了させるための正規の仕組みとして設計されている。
ユーザーは http://microsoft.com/devicelogin にアクセスし、画面に表示された短いコードを入力する。入力が完了すると、元のデバイスに認証が委譲される——これが正規の利用ケースだ。
問題は、この「コードを入力してもらう」という操作がフィッシングに完全に流用できることにある。
Kali365の攻撃手順
攻撃者がKali365を使って行う手口は以下の通りだ。
- 攻撃者自身がデバイス認証フローを開始し、コードを取得する
- フィッシングメールやソーシャルエンジニアリングで、被害者に「このコードを入力してください」と誘導する
- 被害者がコードを入力し、MFAを完了すると——攻撃者にOAuthアクセストークンが発行される
- 攻撃者はパスワードもMFAコードも知らないままに、被害者のMicrosoft 365環境へフルアクセスを得る
この手口の巧妙な点は、被害者が「正規のMicrosoftサイトで操作を完了した」と感じたまま侵害が成立することだ。MFAが「回避された」わけではなく「正規に完了させられた」という構造が、検知を難しくしている。
セキュリティ企業Arctic Wolfの調査によれば、攻撃者は侵害後のメールボックスに悪意のある受信トレイルールを作成して痕跡を隠蔽し、一部ケースでは被害者のMicrosoft環境に新たなデバイスを登録して持続的なアクセスを確保していた。
Kali365は「ビジネス」として運営されている
Kali365がいっそう危険なのは、その組織的な事業モデルにある。Arctic Wolfの調査では、製品開発を担う管理者、他の攻撃者向けにサービスを販売するリセラー、そして実際にフィッシングを実行するアフィリエイトという3層構造で運営されていることが確認されている。
サービスとして提供される機能は以下の通りだ。
- AIが生成するフィッシングルアー(文体・内容を被害者に合わせて自動生成)
- 自動化されたキャンペーンテンプレート
- 被害者のリアルタイム追跡ダッシュボード
- トークン取得機能
- Cookie Linkモード(Adversary-in-the-Middleで認証済みセッションを傍受)
Telegramで流通しており、技術スキルの低い攻撃者でも高度なフィッシング攻撃が実行できる。「フィッシングの民主化」が現実のものとなっている。
実務への影響と対策
FBIが推奨する対策は以下の3点だ。
1. Conditional AccessでデバイスコードフローをブロックまたはRestrictする
Microsoft Entra IDのConditional Accessポリシーで、デバイスコード認証フロー(Authentication transfer)を制限できる。業務上不要であれば完全ブロックが望ましい。
出典: この記事は FBI warns of Kali365 phishing service targeting Microsoft 365 accounts の内容をもとに、筆者の見解を加えて独自に執筆したものです。