3 月に Microsoft と Europol の国際共同オペレーションで一旦テイクダウンされた PhaaS (Phishing-as-a-Service)『Tycoon2FA』が、再構築された基盤上で OAuth Device Authorization Grant を悪用する手口を加えて活動を本格化させていると BleepingComputer が報じました。eSentire の解析によれば、攻撃は MFA を「迂回」するのではなく「何を承認させるか」をすり替えるのが特徴で、被害者は自ら攻撃者デバイスにアクセストークンを渡してしまいます。
主なポイント
- 攻撃チェーンの起点は Trustifi (正規の企業メール製品) のクリック追跡 URL
events.trustifi.com/...。信頼スコアの高いドメインで GW をすり抜ける「評判ロンダリング」 - リンク先で被害者は「コードをコピーして microsoft.com/devicelogin で入力せよ」と誘導される。アクセス先は本物の Microsoft ページで MFA も正常に完走
- 完走の瞬間、バックグラウンドで待機していた攻撃者のデバイスに OAuth アクセストークンが発行され、メール・SharePoint・Teams 等への持続的アクセス権を奪取される
- 従来の AiTM 型 (リバースプロキシで cookie を盗む) と異なり MFA を「破る」必要がなく、検知も難しい。Trustifi 側に脆弱性はないが、URL レピュテーション依存の防御は機能しない
- 対策側は条件付きアクセス (CAE) でデバイスコンプライアンス強制、device code フローの管理用途以外での無効化、サインインログ上で
tokenIssuerType=Windows等の異常デバイス署名を監視する運用が必要
出典: Tycoon2FA hijacks Microsoft 365 accounts via device-code phishing