本ブログは、Microsoft Investigation – Threat actor consent phishing campaign abusing the verified publisher process の抄訳版です。最新の情報は原文を参照してください。
概要
2022 年 12 月 15 日 (米国時間) 、マイクロソフトは マイクロソフト クラウド パートナープログラム (MCPP) (旧称 マイクロソフト パートナー ネットワーク (MPN) ) への登録時に、脅威アクターが正当な企業になりすましていた同意フィッシングキャンペーンを把握しました。アクターは、不正なパートナー アカウントを使用して、Azure AD で作成した OAuth アプリの登録に 発行者の確認 を追加しました。不正なアクターによって作成されたアプリケーションは、同意フィッシングキャンペーンで使用され、ユーザーを騙し不正なアプリに権限を付与させました。このフィッシングキャンペーンは、主にイギリスとアイルランドに拠点を置くお客様を標的にしました。
すべての不正なアプリケーションを無効化しました。また、影響を受けるお客様には、「[テナント名] テナントで無効になっている疑わしいアプリケーションを確認してください」という件名のメールで通知をしています。 影響を受けるお客様には、追加の修復が必要かどうかを調査し、すべてのお客様が 同意フィッシングから保護する ための措置を講じることをお勧めします。
お客様への影響
マイクロソフト の調査によると、ユーザーが同意を与えると脅威アクターはサード パーティの OAuth アプリケーションを主要な手法として使用し、メールを盗みました。ユーザーがこれらのアプリケーションに同意し、影響を受けたすべてのお客様に通知されています。
緩和策
アプリケーションに悪意があり、マイクロソフトのサービス利用規約に違反している場合、マイクロソフトはすべてのテナントでアプリケーションを無効にし、ここ に記載されている一連の緩和策を実施します。
マイクロソフトは、お客様を保護するために、脅威アクターが所有するアプリケーションとアカウントを無効にし、この特定の脅威アクターに対して取るべきアクションを特定するために、デジタル犯罪課と協力しています。MCPP の審査プロセスを改善し、今後同様の不正行為のリスクを減らすために、追加のセキュリティ対策を実装しました。マイクロソフトは、今後も悪意のある活動を継続的に監視し、詐欺、同意フィッシング、その他のさまざまな永続的な脅威を防止するために継続的な改善を行います。マイクロソフトは、攻撃者が手法を進化させ続けるため、引き続き警戒を怠りません。お客様とパートナーにも警戒を怠らないことを推奨します。
謝辞
Proofpoint 社から報告された調査結果により、他パートナーやお客様とともに調査する機会を得たことは、詐欺や不正行為を防止するための当社の継続的な取り組みを強化するものです。Proofpoint 社が マイクロソフト バグ報奨金プログラム および マイクロソフト アクティブ保護プログラムの条項に基づいて安全なセキュリティ調査を実施してくださったことに感謝します。すべての研究者は、協調脆弱性開示(CVD) の下でベンダーと協力し、セキュリティ調査の実施時にお客様のデータに影響を与えないように、侵入テストの契約規則を遵守することをお勧めします。
参照
質問がある場合には、Azure ポータル ( aka.ms/azsupt ) からサポート ケースを開きます。
お客様が脅威から身を守り、対応するために実行できる手順の詳細については、以下を参照してください。