Microsoftは2026年3月2日、OAuthプロトコルの正規のリダイレクト機能を悪用したフィッシングキャンペーンに関するレポートを公開した。攻撃の標的は政府機関および公共セクターの組織である。
攻撃者はMicrosoft Entra IDやGoogle WorkspaceなどのIDプロバイダーを利用してURLを作成し、意図的に無効なパラメーターを設定してOAuth認証エラーを発生させ、被害者を攻撃者が管理するランディングページへリダイレクトさせる。この手法はアクセストークンの窃取を目的とせず、マルウェアの配信を狙ったものである。フィッシングメールには電子署名の依頼、Teamsの会議録画、Microsoft 365のパスワードリセットなどのテーマが用いられた。
配信されたペイロードにはLNKショートカットファイルやHTMLスマグリングローダーを含むZIPアーカイブがあり、最終的にPowerShellの実行、DLLサイドローディングを経て外部C2エンドポイントへの接続が確立された。Microsoft Entraは悪意あるOAuthアプリケーションを無効化したが、関連する活動は継続中であるとMicrosoftは警告している。
From: 
Phish of the day: Microsoft OAuth scams abuse redirects for malware delivery
【編集部解説】
今回のMicrosoftの報告は、サイバーセキュリティの世界において重要なパラダイムシフトを示しています。攻撃者が狙っているのは、ソフトウェアの脆弱性でも、ユーザーの認証情報そのものでもありません。OAuthという認証プロトコルの「仕様通りの正常な動作」そのものです。
OAuthは2012年にRFC 6749として標準化されて以来、私たちのインターネット体験の基盤となってきました。「Googleでログイン」「Appleでサインイン」といったボタンの裏側で動いている仕組みがまさにこれです。その便利さゆえに、今やほぼすべての主要なWebサービスがOAuthに依存しています。
今回の攻撃の核心は、OAuthの認証フローでエラーが発生した際にユーザーをリダイレクトする「仕様上の正当な機能」にあります。攻撃者は prompt=none(ユーザーにUIを表示しないサイレント認証)と無効な scope パラメーターを意図的に組み合わせることで、認証を失敗させます。そしてその失敗時のリダイレクト先として、自分たちが管理する悪意あるドメインをあらかじめ登録しておくのです。
注目すべきは、この手法がOAuthの仕様書(RFC 6749)に準拠した動作であるという点です。2025年1月にIETFが公開したRFC 9700「OAuth 2.0セキュリティのベストカレントプラクティス」では、そのセクション4.11.2で、認可サーバーがオープンリダイレクターとして悪用されるリスクがすでに文書化されていました。つまり、この脅威は理論的には予見されていたものの、今回Microsoftが観測したことで「実運用レベルの攻撃」として現実化したことが確認されたわけです。
もう一つ重要な文脈があります。今回の攻撃チェーンでは、一部の被害者がEvilProxyというPhishing-as-a-Service(PhaaS)プラットフォームへ誘導されています。EvilProxyは2022年頃からダークウェブ上でサブスクリプション型のサービスとして販売されており、リバースプロキシの仕組みを利用して多要素認証(MFA)さえも突破できます。Barracudaの調査によれば、2025年1〜2月の2か月間でPhaaSによる攻撃が100万件以上検出されており、そのうち約8%がEvilProxyによるものでした。
従来のフィッシング対策は、不審なURLをブロックしたり、メールのフィルタリングを強化したりすることが主軸でした。しかし今回の手法では、ユーザーが最初にクリックするURLは login.microsoftonline.com や accounts.google.com といった正規の認証エンドポイントです。従来型のURLフィルタリングではこれを悪意あるリンクとして検知することが極めて困難になります。
さらに厄介なのは、攻撃者がリダイレクト先のドメインを容易にローテーションできる点です。セキュリティフィルターが一つのドメインをブロックしても、OAuthアプリケーションのリダイレクトURIを変更するだけで攻撃を継続できます。これは防御側にとって、モグラたたきのような消耗戦を強いられることを意味します。
今回の攻撃が政府機関や公共セクターを標的としている点も見逃せません。Microsoftはキャンペーンの規模に関する詳細な回答を拒否しており、被害の全容は明らかになっていません。
この事案は、組織のセキュリティ管理者に対して具体的な対応を迫るものとなっています。OAuthアプリケーションの同意ポリシーの厳格化、未使用アプリケーションの定期的な棚卸し、そしてメール・ID・エンドポイントをまたぐクロスドメインの検知体制の整備が不可欠です。
長期的な視点では、OAuth 2.0の後継として策定が進むOAuth 2.1に、こうした攻撃パターンへの対策がどのように組み込まれるかが注目されます。プロトコルの利便性と安全性のバランスをどう取るか――この問いは、認証技術の設計思想そのものに関わる課題として、今後も業界全体で議論が続くことになるでしょう。
【用語解説】
OAuth(Open Authorization)
サードパーティのアプリケーションに対し、ユーザーのパスワードを共有せずにリソースへのアクセスを委譲するための標準プロトコル。2012年にRFC 6749として策定された。「Googleでログイン」などのソーシャルログインの基盤技術である。
prompt=none
OAuth認証リクエストのパラメーターの一つ。ユーザーにUIを一切表示せず、既存のセッション情報だけで認証を試みる「サイレント認証」を指定する値である。
scope
OAuthリクエストにおいて、アプリケーションがアクセスを求めるリソースの範囲を指定するパラメーター。無効な値を設定するとエラーが発生し、リダイレクトが発動する。
LNKショートカットファイル
Windowsのショートカットファイル形式。クリックすると指定されたプログラムやコマンドを実行する。攻撃者がPowerShellコマンドの実行トリガーとして悪用する手法が増えている。
HTMLスマグリング
HTMLファイル内にエンコードされたマルウェアを埋め込み、ブラウザー上でデコード・ダウンロードさせる手法。メールセキュリティのフィルターを回避する目的で使用される。
DLLサイドローディング
正規のアプリケーション(今回は steam_monitor.exe)が読み込むDLLファイルを悪意あるものにすり替え、マルウェアを実行させる攻撃手法である。
C2(Command and Control)エンドポイント
攻撃者がマルウェアに指令を送り、窃取したデータを受信するために使用する外部サーバーのこと。
EvilProxy
2022年頃からダークウェブ上でサブスクリプション型で販売されているPhishing-as-a-Service(PhaaS)プラットフォーム。リバースプロキシ技術を用いて正規のログインページを中継し、多要素認証(MFA)をも突破できる。
PhaaS(Phishing-as-a-Service)
フィッシング攻撃に必要なインフラやツールをサービスとして提供するビジネスモデル。技術的な専門知識がなくても高度なフィッシング攻撃を実行できる環境を犯罪者に提供する。
MFA(多要素認証)
パスワードに加え、SMSコードや認証アプリなど複数の要素を組み合わせて認証を行うセキュリティ手法である。
OAuth 2.1
現在策定が進んでいるOAuthの次期バージョン。RFC 9700のセキュリティ推奨事項を仕様に組み込む予定である。
【参考リンク】
Microsoft Security Blog(Microsoft公式)(外部)
Microsoftのセキュリティ研究チームによる公式ブログ。脅威分析レポートやハンティングクエリを定期的に公開している。
Microsoft Entra ID(Microsoft公式)(外部)
旧Azure Active Directory。Microsoftのクラウドベースの ID・アクセス管理サービス。今回の攻撃でリダイレクト悪用の対象となった。
Google Workspace(Google公式)(外部)
Googleが提供するクラウド型の業務用生産性スイート。今回OAuthリダイレクト悪用の対象として名前が挙がっている。
RFC 9700 — Best Current Practice for OAuth 2.0 Security(IETF)(外部)
2025年1月公開のOAuth 2.0セキュリティベストプラクティス。認可サーバーのリダイレクト悪用リスクを文書化している。
RFC 6749 — The OAuth 2.0 Authorization Framework(IETF)(外部)
2012年策定のOAuth 2.0基本仕様書。認可フローにおけるリダイレクトやエラーハンドリングの仕組みを定義している。
【参考記事】
OAuth redirection abuse enables phishing and malware delivery(Microsoft Security Blog)(外部)
Microsoft Defender Security Research Teamによる一次情報レポート。攻撃の5段階を技術的に詳述している。
Microsoft Warns OAuth Redirect Abuse Delivers Malware to Government Targets(The Hacker News)(外部)
stateパラメーターにエンコードしたメールアドレスを渡してフィッシングページの信頼性を高める手法に言及。
Threat Spotlight: A million phishing-as-a-service attacks in two months(Barracuda Networks)(外部)
2025年1〜2月にPhaaS攻撃が100万件以上検出。Tycoon 2FAが89%、EvilProxyが8%のシェアと報告。
EvilProxy phishing campaign leverages convincing impersonations(Okta)(外部)
2025年3月以降活発なEvilProxyキャンペーンについて、金融・政府・ヘルスケア等が標的と報告している。
OAuth best practices: We read RFC 9700 so you don’t have to(WorkOS)(外部)
RFC 9700が推奨するリダイレクトフロー保護やトークンリプレイ防止などのベストプラクティスを平易に解説。
Microsoft warns of OAuth phishing campaigns able to bypass email and browser defenses(TechRadar)(外部)
OAuthページでは認証情報が盗まれていない点を強調。被害規模が未公開であることも指摘している。
【編集部後記】
「Googleでログイン」「Microsoftでサインイン」――私たちが日常的に何気なくクリックしているこのボタンの裏側で、今回のような攻撃が進行しています。
普段お使いのサービスで、どのOAuthアプリケーションに権限を付与しているか、最後に確認したのはいつでしょうか。これを機に、ご自身のアカウントの「接続済みアプリ」の一覧を見直してみるのも良いかもしれません。
