技術的な説明
FBI傘下のインターネット犯罪苦情センター(IC3)は2026年5月21日にPSA260521を公開し、2026年4月に最初に検出されたKali365という新興フィッシング・アズ・ア・サービスプラットフォームについて警告を発した。Kali365はAI生成フィッシング誘導文、自動キャンペーンテンプレート、リアルタイム被害者追跡ダッシュボードを使用して、低スキルの攻撃者がOAuth 2.0デバイス認可(デバイスコード)フローを悪用することでMicrosoft 365 OAuthアクセストークンとリフレッシュトークンを盗むことを可能にしている。被害者は攻撃者生成のデバイスコードをMicrosoftの正規検証ページに入力するよう騙され、気付かないうちに攻撃者のデバイスがMFA全体をバイパスする永続トークンを受け取ることを認可してしまう。トークンはOutlook、Teams、OneDrive、およびSSO接続されたすべてのSaaSプラットフォームへのアクセスを提供する。
攻撃経路
攻撃者はMicrosoftのOAuthデバイス認可付与フローを介してデバイスコードを生成し、コードとmicrosoft.com/deviceloginにアクセスするよう指示するクラウド生産性サービスになりすましたフィッシングメールを送信する。被害者は実際のMicrosoftページで認証(およびMFAを満たす)を完了し、攻撃者は生成されたOAuthアクセス+リフレッシュトークンをキャプチャして自身のインフラストラクチャから使用する。パスワード盗聴またはMFAバイパス技術は必要ない — 正規フローが攻撃そのものである。
影響を受けるシステム
デバイスコード認証が有効にされているMicrosoft 365 / Microsoft Entraを使用する組織すべて。特にMFAを認証情報盗聴に対する唯一の保護として依存している組織は高リスク。副次攻撃モード(「Cookie Link」)はAitMプロキシを使用してセッションクッキーをキャプチャする。
緩和策
1) Microsoft Entraの条件付きアクセスポリシーを介してデバイスコード認証フローを制限またはブロックする。2) 既存のデバイスコード使用および登録ログを監査する。3) 認証転送ポリシーをブロックする。4) フィッシング耐性MFA(FIDO2/パスキー)をプライマリ要因として展開する。5) 異常なOAuthトークン発行と新規デバイス登録について警告する。6) ユーザーがデバイスコードフィッシング誘導文を認識するよう訓練する(件名:「SharePoint – ドキュメント共有」、「OneDrive – ファイル共有」、「DocuSign – 署名が必要」)。ic3.govにインシデントを報告する。