攻撃者は、通常のOAuthエラーリダイレクトを悪用し、ユーザーを正規のMicrosoftまたはGoogleログインURLからフィッシングやマルウェアのページへ誘導しています。この際、攻撃者は成功したサインインを完了させることも、OAuthフロー自体からトークンを窃取することも一切行いません。
もう少し説明が必要ですね。
OAuth(Open Authorization)は、委任認証のためのオープン標準プロトコルです。これにより、ユーザーはパスワードを共有することなく、ウェブサイトやアプリケーションに別のサービス(例:Facebook)上のデータへのアクセスを許可できます。
OAuthリダイレクトとは、ユーザー認証後に認証サーバーがユーザーのブラウザを、認証コードまたはトークンを伴ってアプリケーション(クライアント)へ戻すプロセスである。
研究者らは、フィッシング攻撃者がトークンを窃取せずに被害者を攻撃者が制御するインフラへリダイレクトするため、サイレントOAuth認証フローと意図的に無効なスコープを利用していることを発見した。
では、標的の視点から見たこの攻撃はどのようなものか?
ユーザーの視点から見ると、攻撃の連鎖はおおむね以下のようになります:
そのメール
信憑性のあるビジネス上の誘い文句を伴うメールが届きます。例えば、日常的でありながら緊急を要する内容のメールを受け取ります:文書共有やレビュー、社会保障や金融に関する通知、人事や従業員報告書、Teams 招待、パスワードリセットなど。
メール本文には「文書を表示」や「レポートを確認」といったリンク、またはリンクを含むPDF添付ファイルが含まれています。
リンク
リンクが通常のMicrosoftやGoogleのログイン画面に見えることを確認した後、クリックします。表示されるURL(カーソルを合わせると表示されるもの)は信頼できるドメイン(例:https://example.com)で始まるなど、一見本物のように見えます。 https://login.microsoftonline.com/ または https://accounts.google.com/.
パラメータ(プロンプト=なし、奇妙なまたは空のスコープ、エンコードされた状態)が異常であるという明らかな兆候は見られない。
サイレントOAuth
細工されたURLは、静かなOAuth認証を試みます(prompt=none) かつ、失敗が保証されているパラメータ(例えば、無効なスコープやスコープの欠落など)を使用します。
IDプロバイダーはセッションと条件付きアクセスを評価し、リクエストがサイレントに成功できないと判断すると、interaction_required、access_denied、またはconsent_requiredなどのOAuthエラーを返します。
リダイレクト
設計上、OAuthサーバーはエラーパラメータと状態を含め、ブラウザをアプリが登録したリダイレクトURI(このケースでは攻撃者のドメイン)へリダイレクトします。
ユーザーにとっては、MicrosoftやGoogleのURLがほんの一瞬表示された後、別のページに遷移するだけです。クエリ文字列の誤りに気づく人はまずいないでしょう。
ランディングページ
標的は、正規のログインページやビジネスサイトのように見えるページにリダイレクトされます。これは信頼できるブランドのサイトのクローンである可能性が非常に高いです。
ここから、2つの悪意のあるシナリオが考えられます:
フィッシング/中間者攻撃(AitM)の変種
通常のログインページや認証プロンプト。信頼性を高め、一部の制御を回避するために、CAPTCHAやインタースティシャルが表示される場合がある。
メールアドレスは、攻撃者が状態パラメータを通じて渡したため、既に記入されている可能性があります。
ユーザーが認証情報と多要素認証(MFA)を入力すると、中間者攻撃ツールキットがセッションクッキーを含むそれらを傍受しつつ、ユーザー体験が正当に感じられるよう転送を継続する。
マルウェア配布の亜種
すぐに(あるいは短い中間ページの後)、ブラウザはダウンロードパスに到達し、自動的にファイルをダウンロードします。
ページの文脈が誘い文句(「安全な文書をダウンロード」「会議リソース」など)と一致しているため、ファイルを開くことが妥当に思える。
標的は最初のファイルの開く動作やシステムの動作遅延に気付く可能性はあるが、それ以外では侵害は事実上検出不可能である。
潜在的な影響
攻撃者は認証情報を収集したりバックドアを仕掛けたりすることで、システムへの足掛かりを得た。そこから、目的に応じて、直接操作による活動、横方向への移動、データ窃取、ランサムウェアの展開などを実行する可能性がある。
収集した認証情報やトークンは、デバイスにマルウェアを常駐させる必要なく、メールやクラウドアプリ、その他のリソースへのアクセスに使用できます。
安全に過ごすには
このフローでは攻撃者があなたのトークンを必要としないため(自身のインフラへのリダイレクトのみを目的とする)、OAuthリクエスト自体は不審に見えにくい可能性があります。警戒を怠らず、以下のアドバイスに従ってください:
- リンクにカーソルを合わせる操作に依存している場合、特に組織外から送信されたものであれば、oauth2やauthorizeといった文字列や大量のエンコードされたテキストを含む非常に長いURLを見かけた際には、細心の注意を払ってください。
- URLの先頭部分が正当に見えても、リンクをクリックする前に信頼できる送信者から確認してください。
- メールで緊急の連絡が届き、すぐに不審なログインを要求されたり、予期せぬダウンロードが開始されたりした場合、それが悪意のあるものだと疑い、証明されるまではそのように扱ってください。
- 見慣れない場所にリダイレクトされた場合は、すぐに停止してタブを閉じてください。
- メール内のリンクをクリックした直後にダウンロードされるファイルには特に注意してください。
/download/経路 - サイトが「実行」や「有効化」を要求して安全な文書を表示させようとする場合、そのサイトを閉じて現在アクセスしているサイトを確認してください。何か企んでいる可能性があります。
- OS、ブラウザ、お気に入りのセキュリティツールを常に最新の状態に保ってください。これらは多くの既知のフィッシングキットやマルウェアのダウンロードを自動的にブロックします。
プロのアドバイス:受け取ったメールが詐欺かどうか判断するには、Malwarebytes Guardを活用しましょう。
私たちは単に詐欺を報告するだけでなく、詐欺の発見を支援します。
サイバーセキュリティリスクは見出し以上の広がりを見せてはなりません。怪しいと感じたら、Malwarebytes Guardで詐欺かどうか確認しましょう。スクリーンショットを送信、不審な内容を貼り付け、またはリンク・テキスト・電話番号を共有すれば、詐欺か正当かを判断します。すべてのMalwarebytes Premium 、 AndroidMalwarebytes 利用可能です。
