Microsoft 365・GitHub狙う新型OAuth攻撃が急増中 – 偽Adobe・DocuSignアプリで認証情報を窃取

2025年3月18日8:16

サイバーセキュリティニュース

Microsoft 365・GitHub狙う新型OAuth攻撃が急増中 - 偽Adobe・DocuSignアプリで認証情報を窃取 - innovaTopia - （イノベトピア）

Last Updated on 2025-03-18 10:19 by admin

2025年3月に複数のOAuth攻撃キャンペーンが発生し、Microsoft 365とGitHubのユーザーが標的となっている。

Microsoft 365を標的とした攻撃
Proofpointの研究者によると、2025年1月末から米国と欧州の政府、ヘルスケア、小売、サプライチェーン部門のユーザーを標的とした攻撃が続いている。攻撃者は偽のAdobe Acrobat、Adobe Drive、DocuSignに見せかけた悪意のあるOAuthアプリを使用している。

これらのアプリは「プロファイル」「メール」「openid」など限定的な権限を要求することで不審に思われるのを避けている。ユーザーが権限を付与すると、攻撃者はMicrosoftの信頼性を利用して、フィッシングサイトやマルウェア配布サイトにユーザーをリダイレクトする。

典型的なOAuth攻撃では悪意のあるアプリ自体がデータを直接流出させるが、今回の攻撃ではアプリを「ゲートウェイ」として利用する新たな手法が取られている。

GitHubを標的とした攻撃
GitHubでは「GitHub Notification」という名前のアカウントを使用した大規模なフィッシングキャンペーンが発生している。セキュリティ研究者lc4mが発見したこの攻撃では、8,000以上のGitHubリポジトリが標的となっている。

攻撃者はアイスランドのレイキャビクからの「異常なアクセス試行」についてユーザーに警告する偽のセキュリティアラートを送信している。アラートには、パスワードの更新、アクティブセッションの確認、二要素認証の有効化などの対策が記載されているが、これらのリンクはすべて悪意のある「gitsecurityapp」OAuthアプリの認証ページに誘導する。

このアプリは公開・非公開リポジトリへの完全なアクセス権を要求する。ユーザーがアプリを承認すると、アクセストークンが生成され、onrender.comでホストされているコールバックアドレスに送信される。

対策
Microsoftなどは、OAuthアプリからのリスクを軽減するための対策として、アプリの権限制限、条件付きアクセスポリシーの実装、未承認アプリの管理者承認要求、承認済みアプリの定期的な監査とレビューを推奨している。

被害を受けたユーザーは、GitHub設定の「Applications」から不審なOAuthアプリのアクセスを直ちに取り消し、新しい予期しないGitHub Actions（ワークフロー）がないか確認し、認証情報と認証トークンを更新すべきである。

from:OAuth Attacks Target Microsoft 365, GitHub

【編集部解説】

今回のOAuth攻撃は、サイバーセキュリティの世界で「認証の委任」という概念を悪用した巧妙な手法が使われています。OAuthとは、パスワードを共有せずに第三者アプリケーションにアクセス権を付与できる認証プロトコルですが、この便利な機能が逆手に取られているのです。

特に注目すべきは、今回の攻撃キャンペーンが従来のOAuth攻撃と異なる点です。Proofpointの研究者が指摘しているように、典型的なOAuth攻撃では悪意のあるアプリ自体がデータを直接流出させますが、今回はアプリを「ゲートウェイ」として利用し、フィッシングサイトやマルウェア配布サイトへユーザーをリダイレクトする手法が取られています。

この手法が特に危険なのは、Microsoftの信頼性を悪用している点です。ユーザーがOAuthアプリに限定的な権限を与えた後、攻撃者はその信頼関係を利用して次の段階へと誘導します。

GitHubを標的とした攻撃も同様に巧妙です。「GitHub Notification」という公式に見せかけたアカウントからの偽のセキュリティアラートは、アイスランドからの不審なアクセスという具体的な情報を含むことで信頼性を高めています。

これらの攻撃が示すのは、サイバー犯罪者たちがソーシャルエンジニアリングの手法を洗練させていることです。特に注目すべきは、正規のサービスを装った不正なOAuthアプリを使用してユーザーに過剰な権限を付与させるという長期的なパターンが続いていることです。

企業のセキュリティ担当者にとって懸念すべきは、これらの攻撃が特定の業界を標的にしている点です。政府機関、医療、小売、サプライチェーンといった重要インフラや機密情報を扱う業界が狙われています。

対策としては、OAuthアプリの権限制限や条件付きアクセスポリシーの実装が重要です。特に組織のIT管理者は、ユーザーが第三者のOAuthアプリにアクセスを許可する前に管理者の承認を必須とする設定を検討すべきでしょう。

個人ユーザーとしては、Microsoft 365やGitHubのアカウント設定から、アクセス権を付与したアプリの一覧を定期的に確認し、不審なアプリの承認を取り消すことが重要です。GitHubユーザーも同様に、設定の「Applications」から不審なOAuthアプリのアクセスを取り消し、予期しないGitHub Actionsがないか確認することが大切です。

このような攻撃が増加している背景には、多要素認証(MFA)の普及により、従来のパスワード盗難だけでは侵入が難しくなっていることがあります。そのため攻撃者は、MFAをバイパスできるOAuthのような正規の認証フローを悪用する方向にシフトしているのです。

テクノロジーの進化とともに、セキュリティの脅威も進化し続けています。便利さと安全性のバランスを取りながら、常に最新の脅威に対する意識を高く持ち続けることが、デジタル時代を生きる私たちには不可欠となっているのです。

【用語解説】

OAuth（オーオース）:
ユーザーがパスワードを共有せずに、第三者アプリケーションに自分のアカウントへの限定的なアクセス権を付与できる認証プロトコル。

フィッシングサイト:
公式サイトを装った偽サイトのこと。銀行の正規サイトに似せた偽サイトでログイン情報を盗むなど、個人情報を不正に入手するために使用される。

マルウェア:
悪意のあるソフトウェアの総称。コンピュータウイルス、スパイウェア、ランサムウェアなどが含まれる。

ソーシャルエンジニアリング:
人間の心理的な弱点を突いて、機密情報を入手したり、不正行為を行わせたりする手法。技術的な脆弱性ではなく、人間の判断ミスを誘発する。

条件付きアクセスポリシー: ユーザーのアクセス条件を設定し、セキュリティを強化するためのポリシー。特定の条件下でのみアクセスを許可します。

アクセストークン: OAuthで使用される一時的な認証情報で、クライアントがサーバーに要求を行う際に利用されます。

コールバックアドレス: OAuthアプリが認証後にリダイレクトされるURLです。

【参考リンク】

DocuSign（外部）
世界No.1の電子署名プラットフォーム。契約書の準備から締結、管理までをデジタル化

GitHub（外部）
ソフトウェア開発のためのコード共有・管理プラットフォーム

Proofpoint（外部）
メールセキュリティやデータ保護などのサイバーセキュリティソリューションを提供

【参考動画】

【編集部後記】

普段何気なく「許可する」をクリックしているOAuthアプリ、最後にチェックしたのはいつでしょうか？ Microsoft 365やGitHubのアカウント設定から、アクセス権を付与したアプリの一覧を確認してみると、思わぬ発見があるかもしれません。セキュリティは難しく感じますが、定期的な「デジタル掃除」が大きな違いを生みます。みなさんはどのようなセキュリティ対策を実践していますか？ SNSでぜひ共有してください。