Microsoft、組織アカウントを狙う AI-enabled device code phishing campaign を分析

Microsoft Defender Security Researchは2026年4月6日、OAuth device code authentication flow を悪用して組織アカウントを大規模に侵害する phishing campaign を公開した。Microsoftによれば、今回の事例は従来の device code attack と異なり、AI-driven infrastructure と automation が end to end で組み合わされている点が特徴だ。これにより、短い有効期限の中で被害者が flow を完了してしまう確率が高まる。

Microsoftの説明では、攻撃は document access、e-signing、voicemail などの social engineering lure から始まる。標的がクリックすると、malicious page が live device code をリアルタイムに生成し、被害者を正規の microsoft.com/devicelogin に誘導する。入力の手間を減らすため、code を clipboard に自動コピーする場合もある。被害者が認証を終えると、攻撃者は password を直接盗まなくても live access token を得られる。つまり正規の device code flow 自体が悪用されている。

• 被害者がクリックしてから15分の有効期間が始まる dynamic device code generation
• Railway.com などで短命な polling node を大量に動かし、scale と回避性を確保
• device code abuse をサービス化する EvilTokens phishing-as-a-service の台頭と整合

この研究が重要なのは、攻撃者が単に偽 login page を複製するのではなく、信頼された cloud workflow の上に automation を重ねていることを示すからだ。phishing page、token polling backend、clipboard trick、post-authentication action が coordinated system として機能する。最終的な sign-in が本物の Microsoft URL 上で行われ得るため、malicious domain の block だけでは防御が不十分になる。

Microsoftの対策提案は実務的だ。可能な限り device code flow を block し、必要な場合は Conditional Access で制限し、利用者にはどの app に権限を与えるのか確認する習慣を徹底させるべきだとしている。abuse が疑われる場合は refresh token をすみやかに revoke し、re-authentication を強制することも重要だ。enterprise にとっては、利便性のための identity workflow が automation によって高価値の attack surface へ変わり得ることを示す警告といえる。