5週間で340超の企業が被害に Microsoft 365のアクセスを奪う新型フィッシングに注意：「OAuth疲れ」が生んだ新たな穴

MFAを突破されていないのに、なぜ電子メールやクラウドが“乗っ取られる”のか。5週間で340超の企業が被害に遭ったMicrosoft 365を狙う新型フィッシングは、パスワードではなく「OAuth同意」を悪用していたという。

[＠IT]

　セキュリティ関連のニュースを報じる「The Hacker News」は2026年5月19日（米国時間）、OAuthの同意機能を悪用し、多要素認証（MFA）を回避せずに「Microsoft 365」の電子メールやクラウドデータへのアクセス権を取得する新型フィッシング攻撃が拡大していると報じた。

　サイバー攻撃者はパスワードそのものを盗むのではなく、正規認証後に発行されるOAuthリフレッシュトークンを取得し、電子メールやクラウドストレージ、予定表、連絡先に継続的にアクセスしていたとされる。

5週間で340超のMicrosoft 365利用組織が侵害を受ける

　2026年2月に「EvilTokens」と呼ばれるフィッシング・アズ・ア・サービス（PhaaS）基盤が稼働を開始した。稼働開始から5週間で、5カ国340超のMicrosoft 365を利用する組織が侵害されたという。標的となったユーザーには「microsoft.com/devicelogin」で短いコード入力を求めるメッセージが送信された。利用者は通常通りMFA認証を終えた後、日常的なサインイン確認を済ませたと認識していたが、実際には攻撃者にOAuthリフレッシュトークンを渡していた。

　この攻撃ではサイバー攻撃者がパスワードを取得する必要はない。追加のMFA要求も発生せず、不審なサインインとして検知されにくい点が特徴だ。ユーザーは正規ドメインで認証を完了しているため、システム側から見れば正常な認証処理として扱われる。攻撃者が取得したリフレッシュトークンは認証基盤側で署名済みであり、ユーザーが承認した権限範囲に従って利用可能になる。

　従来型フィッシングとの差異もある。多くの認証基盤はMFAを追加要求するため、防御側は地理情報や端末情報、移動パターンなどを監視対象としてきた。しかしOAuth同意悪用型攻撃では認証処理自体が正規手順で完了しているため、従来の監視では異常検知が難しいという。

　リフレッシュトークンの寿命も問題視されている。EvilTokensが発行したリフレッシュトークンは、利用組織の設定次第で数週間から数カ月間有効となり、パスワード変更後も利用可能だった。アクセス停止には、トークンの明示的失効処理や再同意要求を伴う条件付きアクセス制御が必要になる。

　OAuthの同意画面が日常業務の中で一般化した点もこのフィッシングを助長させた背景要因だ。AIエージェントや業務効率化ツール、Webブラウザ拡張機能など、多数のSaaS連携が権限承認を要求する環境になっている。ユーザーは短期間に大量の同意画面に接触しており、同意操作自体への警戒感が薄れている。

　権限表示の分かりにくさも問題だ。「メール読み取り」は限定的な印象を与えるが、実際には共有スレッドや添付ファイルを含む広範囲なデータへのアクセスが可能になる。「利用者不在時のファイルアクセス」も、長期間有効なトークン発行を意味するケースがある。ユーザーが理解する権限範囲と実際の到達範囲に隔たりが存在し、その差異が攻撃悪用につながっている。

　この他、複数のSaaSを横断する「toxic combination（危険な権限組み合わせ）」にもThe Hacker Newsは言及している。これは例えば、財務担当者が会議要約AIに予定表とメール権限を与え、その後別の生産性支援ツールに共有ドライブ権限を与えるなど、個別承認の積み重ねによって広範なアクセス経路が形成されるといった状況だ。この状況では単独アプリの監査ログでは把握しにくく、OAuth連携やAIエージェントが橋渡し役となる構造が穴になる可能性がある。

　The Hacker Newsは対策として、OAuth同意管理を認証管理と同等水準で扱うことを推奨している。第三者アプリ一覧の継続監視や30日超経過トークンの再同意確認、複数SaaSを横断するIDの監査、AIエージェント連携経路の把握、同意イベントを対象とした条件付きアクセス制御、利用者単位でなくトークン単位の失効運用などを確認すべきだという。