ロシアの国家ハッカーが世界的なサイバースパイ活動でデバイスコードフィッシングを悪用

ロシアの国家支援を受けたハッカーに関連する危険なサイバー攻撃の波が主要産業を席巻し、政府機関、防衛関連企業、通信会社、その他の高価値組織を危険にさらしています。マイクロソフトは、Storm-2372 として追跡されている、デバイス コード フィッシングを利用してアカウントに侵入し、機密データを盗み出す高度な脅威アクターを特定しました。

このキャンペーンは少なくとも 2024 年 8 月から活動しており、北米、ヨーロッパ、中東、アフリカの組織に影響を及ぼしています。従来の認証メカニズムをバイパスできるため、この攻撃方法は重要なインフラストラクチャと国家安全保障に重大なリスクをもたらします。

デバイスコードフィッシングの仕組み

デバイス コード認証は、スマート TV や IoT デバイスなど、インタラクティブなサインイン機能がないデバイスからアカウントにログインするために使用される正当なプロセスです。攻撃者は、被害者を騙して正規のログイン ページで生成されたデバイス コードを入力させることでこの機能を悪用します。ターゲットがコードを送信すると、ハッカーはアクセス トークンを取得し、被害者の電子メール、クラウド ストレージ、その他の機密システムへの不正なアクセスを許可します。

従来のフィッシングとは異なり、デバイス コード フィッシングではパスワードは必要ありません。代わりに、セッション トークンが有効である限り、認証フローを悪用して永続的なアクセスを取得します。これにより、攻撃者は侵害されたネットワーク内で横方向に移動して権限を昇格し、組織内でさらに拡散することができます。

ストーム2372の戦術

Microsoft の調査により、Storm-2372 は、多くの場合 Microsoft Teams の会議招待を装った、標的を絞ったフィッシング メールを使用して、被害者にアクセスを許可させるように誘導していることが明らかになりました。このグループは、WhatsApp、Signal、Microsoft Teams を介してソーシャル エンジニアリング戦術を採用し、ターゲットに関連する影響力のある個人になりすまします。信頼関係が確立されると、攻撃者は不正な認証要求を含む悪意のある会議招待を送信します。

アカウントの侵害に成功すると、Storm-2372 は Microsoft Graph API を悪用して受信トレイをスキャンし、「ユーザー名」、「パスワード」、「管理者」、「資格情報」、「政府」、「秘密」などの機密キーワードを探します。また、電子メールを盗み出し、侵害されたアカウントを使用して組織内でさらに内部フィッシング攻撃を開始します。

2025 年 2 月 13 日以降、ハッカーは戦術を進化させ、Microsoft 認証ブローカーのクライアント ID を使用してリフレッシュ トークンを取得しています。これらのトークンを使用すると、ハッカーは Entra ID 内に自分のデバイスを登録でき、侵害されたネットワークに永続的なバックドアを効果的に設置できます。また、Storm-2372 は検出を回避するために、地域固有のプロキシ サーバーを使用してアクセスを偽装していることも確認されています。

他のロシアのハッキンググループとのつながり

サイバーセキュリティ企業 Volexity は、デバイスコード フィッシングが米国国務省、ウクライナ国防省、欧州議会などの著名な組織を標的に使用されていると報告しています。Storm-2372 に加えて、ロシアに関連する他の 3 つのハッキング グループ (APT29 (Cozy Bear)、UTA0304、UTA0307) も同様の手法を使用していることが確認されています。

これらの行為者は別々に追跡されているが、Volexity は、西側諸国の政府や戦略機関から情報を収集するために組織化された単一の協調キャンペーンの一部である可能性を示唆している。

緩和戦略: デバイスコードフィッシングからの保護

組織は、この新たな脅威から身を守るために、積極的なセキュリティ対策を講じる必要があります。その方法は次のとおりです。

1. デバイスコード認証を無効にする(必要ない場合)

組織がデバイス コード認証に依存していない場合は、それを無効にすることで攻撃ベクトルを完全に排除できます。

2. 多要素認証(MFA)を有効にする

デバイス コード フィッシングはパスワードを回避しますが、強力な MFA 方法 (ハードウェア セキュリティ キーなど) を有効にすると、不正アクセスを防ぐことができます。

3. 異常な認証要求を監視する

セキュリティ チームは、特に Entra ID を通じて登録された見慣れない場所やデバイスからの不審なログイン試行に注意する必要があります。

4. ソーシャルエンジニアリングについて従業員を教育する

攻撃者は信頼関係を確立するために WhatsApp や Signal などのソーシャル プラットフォームを使用するため、組織は従業員に、なりすましの手口を認識し、予期しない会議のリクエストを検証するトレーニングを行う必要があります。

5. 条件付きアクセスポリシーを実装する

デバイスの信頼性、地理的位置、行動分析に基づいてアクセスを制限し、疑わしいサインインが成功する前にブロックします。

Zane
February 18, 2025
Computer Security
日本語
February 18, 2025
Computer Security

人気の投稿

OperaGXSetup.exe ファイルとは何ですか? 悪意のあるものですか?

11 months年前

Eporner.comとその過剰なポップアップが危険な理由

12 days年前

注意してください: 誰かがあなたをリカバリメール詐欺に追加しました

10 months年前

HackTool:Win32/Crack: システムに深刻なダメージを与える可能性のある悪意のある脅威

7 months年前

潜在的に深刻な脅威: Trojan:Win32/Suschil!rfn

19 days年前

Packunwan トロイの木馬の脅威とは何か、そしてそれがコンピュータにどのような影響を与えるか

11 months年前
日本語
読み込み中...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。