FBIが「Kali365」フィッシング・アズ・ア・サービスに関する公式アラートを発出

セキュリティニュース

投稿日時: 更新日時:

FBIが「Kali365」フィッシング・アズ・ア・サービスに関する公式アラートを発出

米国連邦捜査局(FBI)は2026年5月21日、Microsoft 365アカウントを標的とする新興のPhishing-as-a-Service(PhaaS)プラットフォーム「Kali365」に関する公式パブリックサービスアナウンスメント(PSA、アラート番号:I-052126-PSA)をIC3(インターネット犯罪苦情センター)を通じて発出しました。

Kali365は2026年4月に初めて確認されており、Telegramを通じて月額サブスクリプションとして販売されています。攻撃者はKali365を利用することで被害者のパスワードを一切必要とせず、「デバイスコードフィッシング(Device Code Phishing)」と呼ばれる手法でMicrosoft 365の認証を完全にバイパスし、OAuthアクセストークンおよびリフレッシュトークンを窃取して被害者のOutlook・Teams・OneDriveへの永続的なアクセスを取得します。

FBIの公式アラートに先立ち、サイバーセキュリティ企業Arctic Wolf Labsは2026年4月24日にKali365を利用した大規模なデバイスコードフィッシングキャンペーンを報告しており、法人組織を標的とした企業メール詐欺(BEC)および企業データ窃取を最終目的とする攻撃が広く展開されていることが確認されています。

この記事のサマリー

  • Kali365とは:2026年4月に初めて観測されたPhaaS(Phishing-as-a-Service)プラットフォーム。Telegramで月額サブスクリプションとして販売。技術的スキルの低い攻撃者でも即座に利用可能な「AIフィッシングキット」。
  • 攻撃の本質デバイスコードフィッシング(Device Code Phishing)。被害者のパスワードを必要とせず、MFAを回避してMicrosoft 365のOAuthトークンを直接窃取する。
  • 4段階の攻撃フロー:①フィッシングメール(SharePoint・OneDrive・DocuSign等に偽装)→②被害者が本物のMicrosoftページでデバイスコードを入力→③攻撃者がOAuthトークンを取得→④パスワード・MFAなしでOutlook・Teams・OneDriveに永続的にアクセス。
  • Kali365が提供する機能:AI生成のフィッシングルアー・自動化されたキャンペーンテンプレート・リアルタイムのターゲット追跡ダッシュボード・OAuthトークン取得機能。
  • 観測された件名例(Arctic Wolf調査):「SharePoint – Document Shared」「OneDrive – File Shared」「Microsoft 365 – Voicemail」「DocuSign – Signature Required」「Adobe Acrobat Sign – Agreement」。
  • 最終目的:企業データの窃取およびBEC(ビジネスメール詐欺・Business Email Compromise)
  • FBI・CISAが推奨する対策:デバイスコードフローの制限または全面ブロック・条件付きアクセスポリシーの設定・認証転送ポリシーのブロック・緊急アクセスアカウントの確保。

FBIが警告する「Kali365」とは何か——「パスワード不要」のMFAバイパス型フィッシングキット

FBIのIC3(インターネット犯罪苦情センター)が公式に定義するKali365は、「サイバー攻撃者がMicrosoft 365のアクセストークンを入手し、多要素認証(MFA)プロトコルをユーザーの認証情報を傍受することなしにバイパスすることを可能にするPhaaS(Phishing-as-a-Service)プラットフォーム」です。

従来のフィッシング攻撃では、攻撃者が偽のログインページを作成して被害者にID・パスワードを入力させる方法が主流でした。しかしKali365は根本的に異なるアプローチをとります。OAuthのデバイスコード認証フローという正規のMicrosoftの仕組みを悪用し、被害者が本物のMicrosoftのウェブページでコードを入力することで、意図せず攻撃者のデバイスにアカウントへのアクセス権限を付与してしまうのです。

この手法の最も危険な特性は以下の3点です。第一に被害者の視点では「本物のMicrosoft認証ページ」を操作しているため、フィッシングと認識されにくい点です。第二にMFAが完全に機能していても迂回できる点です。通常のフィッシングはMFAで防げますが、デバイスコードフィッシングはトークンを直接取得するため、SMSや認証アプリのコードを奪う必要がありません。第三に取得したOAuthトークン(特にリフレッシュトークン)は長期間有効であり、攻撃者がパスワード変更後も継続してアカウントにアクセスし続けられる点です。


Kali365の4段階攻撃フロー

FBI公式アラートが示す攻撃の流れは以下の4段階です。

Step 1:フィッシングメールの送信(Lure)

攻撃者は信頼性の高いクラウドプロダクティビティサービスやドキュメント共有サービスになりすましたフィッシングメールを送信します。このメールには「デバイスコード」と呼ばれる数字・文字の文字列が記載されており、「Microsoftの本物の確認ページにアクセスしてこのコードを入力してください」と指示が添えられています。

Arctic Wolf Labsが実際に観測した件名の例として以下が挙げられます。「SharePoint – Document Shared(SharePointでドキュメントが共有されました)」「OneDrive – File Shared(OneDriveでファイルが共有されました)」「Microsoft 365 – Voicemail(Microsoft 365にボイスメールがあります)」「DocuSign – Signature Required(DocuSignで署名が必要です)」「Adobe Acrobat Sign – Agreement(Adobe Acrobat Signで契約書があります)」といった内容です。いずれも受信者が日常的に業務で受け取るものと区別がつきにくい件名です。

Step 2:被害者が本物のMicrosoftページでコードを入力(Authorization)

指示に従ってMicrosoftの本物の認証ページ(microsoft.com/devicelogin)にアクセスし、提示されたデバイスコードを入力します。このページは本物のMicrosoftのサイトであり、フィッシングサイトではないため、ブラウザのアドレスバーで偽物を判断することができません。コードを入力することで、被害者は知らないうちに攻撃者のデバイスに自分のMicrosoft 365アカウントへのアクセス権限を付与してしまいます

Step 3:OAuthトークンの窃取(Token Theft)

攻撃者のシステムがOAuthアクセストークンおよびリフレッシュトークンをリアルタイムでキャプチャします。OAuthトークンはMicrosoftが認証済みデバイスに発行する「デジタルカギ」であり、これさえあればパスワードを知らなくてもアカウントにアクセスできます。また追加のMFA認証も不要です。

Step 4:永続的なアクセスの確立(Persistence)

取得したトークンを使用し、攻撃者はOutlook(メール)・Teams(チャット・会議)・OneDrive(ファイル)にパスワードなし・MFAなしでアクセスし続けます。リフレッシュトークンを悪用することで長期間のセッション維持が可能です。最終的な目的は企業データの窃取およびBEC(ビジネスメール詐欺)——具体的には財務担当者へのなりすまし送金指示や、取引先へのインボイス詐欺等への転用です。


Kali365が提供する「攻撃者向けサービス」

FBIのアラートによれば、Kali365は月額サブスクリプションで以下の機能を攻撃者に提供しています。技術的スキルの低い「エントリーレベルの攻撃者」でも即座に大規模なフィッシングキャンペーンを実行できる設計となっています。

AI生成のフィッシングルアーとして、信頼性の高い見た目のフィッシングメールをAIが自動生成します。自動化されたキャンペーンテンプレートとして、大量のターゲットに対してキャンペーンを自動展開できます。リアルタイムのターゲット追跡ダッシュボードとして、どのターゲットがデバイスコードを入力したかをリアルタイムで監視できます。OAuthトークン取得機能として、被害者がコードを入力した瞬間にトークンを自動でキャプチャします。

このようなPhaaS(フィッシング・アズ・ア・サービス)モデルは、高度な技術知識を持たない攻撃者でも洗練された認証バイパス攻撃を実行できる「サイバー犯罪の民主化」を促進しており、攻撃の裾野を大幅に広げることが懸念されています。


推奨される防御策——FBI・CISAの公式ガイダンス

FBIおよびCISA(サイバーセキュリティ・インフラセキュリティ庁)は以下の対策を推奨しています。

デバイスコードフローの制限または全面ブロックとして、Azure AD(Entra ID)の条件付きアクセスポリシーを使用して、全ユーザーに対してデバイスコードフローを原則としてブロックしてください。ただし実際の業務プロセスで必要な場合は例外設定を設けることも可能です。

既存のデバイスコードフロー利用状況の監査として、条件付きアクセスポリシーを作成する前に、社内に正当なデバイスコードフローの依存関係がないかを監査してください。過度に広範なブロックにより業務が停止するリスクを防ぎます。

認証転送ポリシーのブロックとして、ユーザーがPC上での認証をモバイルデバイスに転送することを防ぐ「認証転送ポリシーのブロック」を設定してください。

緊急アクセスアカウントの確保として、デバイスコードフローを全面的に制限できない場合でも、緊急アクセスアカウント(Break-Glass Account)はポリシー適用から除外し、管理者がロックアウトされる事態を防いでください。

不審なOAuthセッションの定期的な確認として、Microsoft Entra ID(旧Azure AD)の監査ログ・サインインログで、見覚えのないデバイスや場所からのアクセス・新たに追加された不正なOAuthアプリの許可がないかを定期的に確認してください。

被害を受けた場合はIC3(www.ic3.gov)に以下の情報を含めて通報することが求められています。フィッシングメール(メールヘッダーおよび本文)・不審なログイン情報(時刻・IPアドレス・場所)・アカウントに追加された不審なデバイスやアクティブセッションが対象です。


FAQ

Q. MFAを設定しているのになぜバイパスされるのですか? A. デバイスコードフィッシングは、被害者に「本物のMicrosoftのページ」でデバイスコードを入力させることで、MFAを含む通常の認証プロセスを完全に迂回します。攻撃者は認証情報やOTPを盗む必要がなく、Microsoftが正規のデバイスに発行するOAuthトークン自体を直接取得するためです。SMS認証・認証アプリ・ハードウェアキー等のMFAはいずれもこの攻撃手法に対して無効です。

Q. すでに被害を受けているかどうかを確認する方法は? A. Microsoft Entra IDの管理画面→「サインインログ」で直近のログインを確認してください。見覚えのないIPアドレス・国・デバイスからのアクセスがあれば要調査です。また「エンタープライズアプリケーション」→「ユーザーとグループ」で、意図しないOAuth権限が付与されていないかも確認してください。

Q. 攻撃者が取得したOAuthトークンを無効化するには? A. Microsoft Entra IDの管理画面から対象ユーザーの「すべてのセッションを失効させる(Revoke All Sessions)」を実行してください。あわせてパスワードの変更、MFAの再設定、付与済みのOAuth権限の確認と不審なものの削除を実施してください。


参考情報(1次ソース)