開発元の身元を証明する「発行者確認済み」マークを取得したアプリがフィッシング詐欺を行ったとMicrosoftが発表

組織のクラウド環境への侵入に使用される悪意のあるOAuthアプリケーションを作成したとして、Microsoftが複数の不正なMicrosoft Partner Networkアカウントを無効化しました。これらのアカウントは正規の企業を装い、Microsoftの「発行者確認済み」の認証を得ていました。

Microsoft Investigation – Threat actor consent phishing campaign abusing the verified publisher process – Microsoft Security Response Center
https://msrc-blog.microsoft.com/2023/01/31/threat-actor-consent-phishing-campaign-abusing-the-verified-publisher-process/

The Dangerous Consequences of Threat Actors Abusing Microsoft’s “Verified Publisher” Status | Proofpoint US
https://www.proofpoint.com/us/blog/cloud-security/dangerous-consequences-threat-actors-abusing-microsofts-verified-publisher

Microsoft disables verified partner accounts used for OAuth phishing
https://www.bleepingcomputer.com/news/security/microsoft-disables-verified-partner-accounts-used-for-oauth-phishing/

セキュリティ企業のProofpointとMicrosoftの共同発表によると、脅威者は正規の企業を装ってMicrosoft Cloud Partner Program(MCPP)に登録し、正当な企業として認証されることに成功していたとのこと。MCPPが作成したOAuthアプリには、Azure Active Directoryの同意プロンプトに青いチェックマークが入り、このアプリがより信頼できるものであることがユーザーに示されます。

脅威者はこれらのアカウントを使用して発行者確認済みのOAuthアプリをAzure ADに登録し、イギリスおよびアイルランドの企業を標的とした同意フィッシング攻撃を行っていたとのこと。同意フィッシング攻撃とは、悪意のあるクラウドアプリケーションにアクセス許可を付与するよう、ユーザーを誘導する攻撃のことです。

Microsoftによると、悪意のあるOAuthアプリは顧客のメールを盗むために使用されたとのことです。一方でProofpointは「アプリの権限により、メールへのアクセスだけでなく、カレンダーや会議情報へのアクセスや、ユーザー権限の変更が可能でした」と警告しています。

Proofpointは3つの公開企業から提供された3つの悪意のあるOAuthアプリを確認しましたが、いずれも同じ組織を標的としており、複数のユーザーがこの攻撃の影響を受け、組織が危険にさらされた証拠も確認されているそうです。

なお、Proofpointが2022年12月15日に脅威の情報を公開したあと、Microsoftはすぐにすべての不正なアカウントとOAuthアプリを停止させています。Microsoftは「顧客を保護するため、脅威者が所有するアプリケーションとアカウントを無効にしました。私たちはMCPPの審査プロセスを改善し、将来的に同様の詐欺行為のリスクを減少させるために、いくつかの追加のセキュリティ対策を実施しました」と発表しました。