マイクロソフトは、悪意のあるOffice 365 OAuthアプリを介したコンテンツフィッシング攻撃について警告します

Microsoftは、悪意のあるOffice 365 OAuthアプリケーションにOffice 365アカウントへのアクセスを提供するように仕向けられた、アプリケーションベースの攻撃について警告しています。このタイプの攻撃はコンテンツフィッシングと呼ばれます。

被害者がOAuth-悪意のあるアプリにそのような権限を付与すると、攻撃者は被害者に代わってMicrosoftアカウントに簡単にアクセスし、API呼び出しを行うことができます。また、企業のSharePointドキュメント管理/ストレージシステムおよびOneDrive for Businessクラウドストレージスペースに保存されている機密情報やリソースだけでなく、メール、ファイル、連絡先、メモ、プロファイルへのアクセスも取得できます。

マイクロソフトパートナーグループのPMマネージャーであるAgnieszka Girling氏は次のように述べています。

「アプリケーションの使用が加速し、従業員がリモートで生産性を発揮できるようになった一方で、攻撃者はアプリケーションベースの攻撃を利用して、クラウドサービスの貴重なデータへの不当なアクセスを得ようとしています。メールフィッシングやクレデンシャルの侵害、同意フィッシングなどのアプリケーションベースの攻撃は、注意しなければならないもう1つの脅威ベクトルです。」

顧客のセキュリティと信頼に関するマイクロソフトのコーポレートバイスプレジデント、トムバートは次のように述べています。

被害者が不正なリンクをクリックすると、最終的に悪意のあるWebアプリケーション(Webアプリ)へのアクセス許可を与えるように促されました。これらの悪意のあるWebアプリは被害者には知られていませんが、不正に許可を得て被害者のMicrosoft Office 365アカウントにアクセスできる犯罪者によって制御されていました。

マイクロソフトは最近複数のコンテンツフィッシングの慣行を観察し、これらの攻撃を陰から調整している攻撃者に対して法的措置を講じました。同社は、悪意のあるOffice 365 OAuthアプリに使用されていた6つのドメインの削除を発表しました。これらのドメインには、officeinvetorys..com、officehnoc [。] com、officesuited [。] com、officemtr [。] com、officesuitesoft [。] com、mailitdaemon [。] comが含まれます。

マイクロソフトは、悪意のあるOffice 365 OAuthアプリを識別して無効にし、数兆もの信号を評価および監視することで、ユーザーがそれらにアクセスできないようにしました。

ガーリングが追加されました。

また、ユーザーが同意できるアプリの種類にポリシーを設定できるようにすることで、アプリケーションエコシステムの安全を確保する方法や、信頼できる発行元からのアプリを強調表示する方法への投資も引き続き行っています。

マイクロソフトは、ユーザーが自分のアカウントに関連付けられたアプリまたはサービスにユーザーの同意があるかどうかを確認するオプションと、これらの権限を削除する手順を提供しています。組織は、こうした攻撃からリモートの従業員をさらに保護するのに役立ついくつかの対策を講じることもできます。パブリッシャーが検証したアプリを使用して、フィッシングの方法を見つけるように教育します。