Okta、Microsoft 365利用者を狙うビッシング(ボイスフィッシング)攻撃を警告

セキュリティニュース

投稿日時: 更新日時:

Okta、Microsoft 365利用者を狙うビッシング(ボイスフィッシング)攻撃を警告

Identity管理大手のOktaは、Microsoft 365の認証情報を狙う電話を使ったビッシング(ボイスフィッシング)キャンペーンについて警告を発しました。攻撃者は被害者に電話をかけ、パスキーの新規登録が必要だと信じ込ませたうえで、実際にはMicrosoftの正規アカウントへ攻撃者自身が管理するパスキーを登録させるという、巧妙な手口を用いています。

サマリー

  • Oktaは2026年7月6日、Microsoft 365利用者を標的にしたビッシングキャンペーンに関する技術分析を公表した。Oktaが「O-UNC-066」として追跡するこの脅威アクターは、ダークウェブ上のリークサイト名から「Pink」とも呼ばれ、Palo Alto Networks Unit 42は「CL-CRI-1147」として追跡している
  • キャンペーンは2026年4月から確認されており、食品・飲料、テクノロジー、医療、自動車、建設、航空といった業界の企業組織が標的となっている。主な目的はデータを窃取したうえでの恐喝(データエクストーション)
  • 攻撃者は「passkey」という単語を含むドメイン(assignpasskey[.]com、deploypasskey[.]com、passkeydeploy[.]com等)を登録し、被害者に電話をかけて、セキュリティ上の理由でMicrosoft Entra IDの新しいパスキーを登録する必要があると信じ込ませる
  • 被害者はMicrosoftの正規のパスキー登録プロセスを精巧に模倣したフィッシングサイトへ誘導される。このフィッシングキットは典型的な中間者攻撃(AitM)型のプロキシとは異なり、電話越しの操作者が被害者を段階的に誘導する「オペレーター制御型」のPHPパネルで構成されている
  • 被害者がユーザー名・パスワードを入力すると、攻撃者はほぼリアルタイムで正規のMicrosoftアカウントへログインし、被害者に設定されているMFA(多要素認証)の種類(SMS OTP、TOTP、プッシュ通知等)を確認したうえで、対応する偽の認証画面を被害者に表示する
  • 最終段階では、被害者にBIP-39形式の「リカバリーキー」を保存させる偽のパスキー登録画面が表示されるが、これは正規のMicrosoft Entraのパスキー登録プロセスには存在しないステップで、被害者の注意をそらす目的とみられる。この間に、攻撃者は実際に自分が管理するパスキーを被害者の正規のMicrosoftアカウントへ登録している
  • Pinkは2026年5月31日にリークサイトを開設しており、窃取したデータのサンプルを公開して被害者に金銭の支払いを迫る、データエクストーション型の恐喝を行っている。Palo Alto Networks Unit 42によれば、Pinkは「The Com」と呼ばれる緩やかな犯罪者ネットワーク(Scattered Spider、ShinyHunters、LAPSUS$等を輩出)と関連するブランドとされている
項目 内容
公表日 2026年7月6日(Okta Threat Intelligence)
脅威アクター名 O-UNC-066(別名Pink、Palo Alto Networks Unit 42はCL-CRI-1147として追跡)
活動開始時期 2026年4月〜
主な標的業界 食品・飲料、テクノロジー、医療、自動車、建設、航空
主な動機 データエクストーション(データ窃取に基づく恐喝)
手口 電話でパスキー登録の必要性を偽装し、精巧な偽サイトへ誘導
フィッシングキットの特徴 オペレーター制御型PHPパネル、AitM型プロキシとは異なりリアルタイムで人間が操作
最終的な被害 攻撃者が管理するパスキーが被害者の正規Microsoftアカウントに登録される
リークサイト開設日 2026年5月31日
関連する犯罪者ネットワーク The Com(Scattered Spider、ShinyHunters、LAPSUS$等と関連)

何が起きたか-パスキー登録という「善意の機能」を逆手に取る手口

Oktaの技術分析によれば、この脅威アクターは2026年4月から、Microsoft 365利用企業を標的にしたビッシングキャンペーンを展開しています。攻撃者はまず、「passkey」という単語を組み込んだドメインを登録します。Oktaが確認したドメインには、assignpasskey[.]com(2026年6月14日登録)、deploypasskey[.]com(2026年4月21日登録)、passkeydeploy[.]com(2026年4月23日登録)等があり、いずれもロシアのDDoS-Guardや米国のIQWeb FZ-LLCといったホスティング事業者上で運用されています。

攻撃者は標的となった従業員に電話をかけ、セキュリティ上の理由からMicrosoft Entra IDの新しいパスキーを登録する必要があると説明し、これらのドメインを含む偽のURLへ誘導します。このタイミングは偶然ではありません。Microsoftは2026年5月、管理者がユーザーに対しサインイン時にパスキー登録を促す「パスキー登録キャンペーン」機能を設定できるようにしたばかりで、攻撃者はこの正規のセキュリティ強化施策そのものを口実として悪用しています。実在の企業ブランディングを使い、Microsoftのコンテンツデリバリーネットワークからコンテンツを読み込むことで、フィッシングサイトの説得力を高めている点も特徴です。

フィッシングキットの仕組み-人間が操作するリアルタイム型パネル

今回使用されているフィッシングキットは、認証情報とMFAトークンを自動的に収集する典型的な中間者攻撃(AitM)型のプロキシとは異なり、電話をかけている(または連携する)攻撃者が操作する、PHPベースのオペレーター制御型パネルである点が特徴です。

被害者がアクセスすると、まず解析対策のチェックを行うローディング画面(/gate)が表示され、続いてユーザー名の入力画面(/identify)、パスワードの入力画面(/password)が順に表示されます。入力された認証情報は/backend.phpへPOSTリクエストとして送信され、攻撃者(電話をかけている本人とは別の担当者である可能性が高いとされる)がこれを使って標的テナントの正規のMicrosoftサインインページへリアルタイムでログインします。

攻撃者は実際にログインすることで、被害者のアカウントに設定されているMFAの種類(SMS OTP、TOTP、プッシュ通知等)を確認し、それに対応する偽の認証画面を被害者側に表示します。

このやり取りは約1秒間隔のハートビート・ポーリングによってほぼリアルタイムで同期されているとされています。被害者が正規のMicrosoftアカウントへの認証を(自覚のないまま)完了させた段階で、攻撃者はパスキー登録という口実に沿って、被害者を偽のパスキー登録ページ(/passkey/register)へ誘導し、BIP-39形式の「リカバリーフレーズ」を保存し、その一部を確認するよう求めます。Oktaによれば、BIP-39のシードフレーズはMicrosoft Entraの正規のパスキー登録プロセスには本来関係がなく、パスキー認証に不慣れな利用者の気をそらすための演出である可能性が高いとされています。

この一連のやり取りの裏側で、攻撃者は実際に自分自身が管理するパスキーを、被害者の正規のMicrosoftアカウントへ登録しています。

Microsoftのパスキー登録が行われると、アカウント所有者には新しいパスキーが登録された旨を知らせる正規の通知メールが送信されますが、Oktaの説明によれば、攻撃者はこのパスキーに、被害者が違和感を抱かないような無害な名称(場合によっては被害者自身が選んだシードフレーズの一部を流用した名称)を付けることができる立場にあるとされています。

The Comエコシステムとデータエクストーション

Oktaによれば、O-UNC-066に関連する脅威アクターは2026年4月から「Pink」という名称のデータリークサイトを運営しています。

Palo Alto Networks Unit 42は、このPinkを「The Com(The Community)」と呼ばれる、緩やかに組織化された犯罪者ネットワークに関連する新しい恐喝ブランドとして位置づけています。The Comは、これまでScattered Spider、ShinyHunters、LAPSUS$といった著名な脅威アクターを輩出してきたエコシステムとして知られています。

Pinkは2026年5月31日にリークサイトを開設し、窃取した企業データのサンプルを公開することで被害者に金銭の支払いを迫る、データエクストーション型の恐喝を行っています。同グループはリークサイト上で「我々は金銭目的の集団だ。セキュリティには費用がかかる、特に長らく放置されてきた場合はなおさらだ」といった趣旨の声明を掲載しているとされています。当サイトで以前紹介したビッシングとデバイスコードフィッシングを組み合わせSharePointからデータを窃取する新興グループHelixとも、電話を起点にしたソーシャルエンジニアリングでデータ恐喝を行うという手口の構造が共通しています。

情報システム部門への示唆

今回の事案が示す最大の教訓は、パスキーのような本来フィッシング耐性が高いとされる認証技術であっても、登録プロセスそのものを人間に対するソーシャルエンジニアリングで乗っ取られてしまえば、その耐性は意味をなさなくなるという点です。加えて、パスキーはパスワードとは独立した認証要素であるため、パスワードのリセットだけでは攻撃者が登録したパスキーは無効化されません。侵害が疑われる場合は、まず身に覚えのないパスキー・認証アプリを削除し、次にすべてのアクティブセッションを無効化したうえで、最後にパスワードをリセットするという順序で対応することが重要です。この順序を誤ると、パスワードを変更した後も攻撃者管理下のパスキーが有効なまま残ってしまう恐れがあります。

自組織でMicrosoft 365・Entra IDのパスキー登録キャンペーンを展開している、またはこれから展開する予定がある場合は、新規のパスキー登録をMDM管理下のデバイスからの操作に限定する条件付きアクセスポリシーの導入を検討してください。あわせて、IT部門・ヘルプデスクが電話でパスキー登録やMFAの操作をその場で指示することは決してないという方針を、従業員に明確に周知しておくことが有効な対策になります。従業員が不審な電話を受けた際には、電話を一度切り、社内で公式に案内されている番号・窓口へかけ直して本人確認を行う習慣を徹底することをお勧めします。あわせて、2026年4月以降のEntraログを遡り、身に覚えのないパスキー登録がないかを定期的に監査する体制も、早期発見のために有効です。

 

出典