技術的な説明
FBIのインターネット犯罪苦情センター(IC3)は2026年5月21日にPSA260521を公開し、2026年4月に初めて検出された新興フィッシング・アズ・ア・サービスプラットフォームであるKali365について警告しました。Kali365はAI生成フィッシング誘因、自動キャンペーンテンプレート、およびリアルタイム被害者追跡ダッシュボードを使用して、スキルの低い攻撃者が正規のOAuth 2.0デバイス認可(デバイスコード)フローを悪用することにより、Microsoft 365 OAuthアクセストークンとリフレッシュトークンを盗むことを可能にします。被害者は攻撃者生成のデバイスコードをMicrosoftの正規検証ページに入力するようにだまされ、知らないうちに攻撃者のデバイスがMFA全体をバイパスする永続トークンを受け取ることを認可します。トークンはOutlook、Teams、OneDrive、およびSSO接続SaaSプラットフォームへのアクセスを提供します。
攻撃経路
攻撃者はMicrosoftのOAuthデバイス認可許可フローを経由してデバイスコードを生成し、コードとmicrosoft.com/deviceloginにアクセスするための指示を含むクラウド生産性サービスになりすましたフィッシングメールを送信します。被害者は実際のMicrosoftページで認証を完了し(MFAを満たし)、攻撃者は結果のOAuthアクセス+リフレッシュトークンをキャプチャし、独自のインフラストラクチャから使用します。パスワード傍受やMFAバイパス技術は不要です。正規フローが攻撃そのものです。
影響を受けるシステム
デバイスコード認証が有効になっているMicrosoft 365 / Microsoft Entraを使用している組織。特にMFAを認証情報盗難に対する唯一の保護として依存している組織は高リスクです。セカンダリ攻撃モード(「Cookie Link」)はAitMプロキシを使用してセッションクッキーをキャプチャします。
緩和策
1) Microsoft Entraの条件付きアクセスポリシーでデバイスコード認証フローを制限またはブロックする、2) 既存のデバイスコード使用および登録ログを監査する、3) 認証転送ポリシーをブロックする、4) フィッシング耐性MFA(FIDO2/パスキー)をプライマリファクターとしてデプロイする、5) 異常なOAuthトークン発行と新しいデバイス登録についてアラートする、6) ユーザーに対してデバイスコードフィッシング誘因を認識するためのトレーニングを実施する(件名:「SharePoint – ドキュメント共有」、「OneDrive – ファイル共有」、「DocuSign – 署名が必要」)。インシデントをic3.govに報告してください。