Push Security は 2026 年 7 月 12 日、デバイスコード(端末コード)を用いた OAuth 認可乗っ取り攻撃の脅威レポートを公表しました。ロシア国家系の諜報手法だった技法が「PhaaS 商品」として一般化し、パスワード・MFA・パスキーすら回避する新たな主流に変わりつつあります。
主なポイント
- 検知件数は前年比 37 倍。18 種の攻撃キットが野外で観測され、AiTM 系 PhaaS の主要ベンダーがこの機能を既定装備
- 攻撃はパスワード窃取ではなく認可層を狙う。正規のログイン画面でユーザーがコードを入力すると、攻撃者側デバイスにトークンが発行される
- 最有力キットは「EvilTokens」。低スキル攻撃者でも運用できる形で PhaaS 化が進み、参入障壁が急落
- 1 セッションを奪取された時点で連携アプリ・SaaS への横展開が容易で、被害は組織横断に拡大しやすい
- 対策側は device code フローの管理限定化、条件付きアクセスによるコンプラ端末強制、サインインログでの異常デバイス署名監視が必要
出典: Device code phishing attacks surge 37x as new kits spread online