この記事のポイント
- デバイスコードフィッシングは、偽の認証画面を壊すのではなく、正規の device code flow を悪用する点が主役です。
- 危険なのは、device code flow の利用実態を把握しないまま許可し、承認後の token 利用や sign-in logs を見ていないことです。
- ASM診断 PRO は認証基盤の代替ではありませんが、外から見える login 導線、委託先向け入口、古い portal の棚卸しに役立ちます。
まず無料で確認する
無料でASM診断を開始
デバイスコードフィッシングで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
デバイスコードフィッシングとは何か
デバイスコードフィッシングは、共有端末や別端末で使う正規認証フローを悪用し、利用者に code 入力を促して token を取得する攻撃として捉えると理解しやすくなります。
正規の device code flow を悪用して token を得る手口です
デバイスコードフィッシングは、device code flow という本来は正規の認証フローを悪用する手口です。利用者へ code の入力を促し、その code を攻撃者側の認証要求へ結び付けることで token を得ます。Microsoft Security Blog のStorm-2372 conducts device code phishing campaignは、この流れを device code phishing として詳しく整理しています。
ここでの危険は、利用者が『Microsoft の正規認証らしい』と受け取りやすいことです。偽の login 画面へ password を入れるのではなく、正規フローに見える操作の先で token が発行されるため、違和感が弱くなります。
OAuth同意フィッシングとの違いは、app consent ではなく認証フロー悪用が主役な点です
OAuth同意フィッシングは app への権限付与を承認させる手口で、主役は consent です。一方でデバイスコードフィッシングの主役は、正規の認証フローそのものを悪用して token を発行させることにあります。
そのため、管理者が最初に見るべき設定も少し違います。OAuth同意フィッシングなら consent policy が中心ですが、デバイスコードフィッシングではdevice code flow をどこで許し、どう監視するかが中心になります。
AiTM よりも『正規フローに見えやすい』点が盲点になります
AiTMは中継サイトの存在を前提にしますが、デバイスコードフィッシングは正規ドメインや正規フローと見分けが付きにくい場面があります。利用者から見ると「別端末で code を入力して認証する」という行為自体が業務上自然に見えるからです。
だからこそ、対策は『怪しい URL を踏まない』だけでは足りません。そもそも device code flow を必要な業務だけに絞っているか、承認後の token 利用をどこまで監視しているかが重要になります。
なぜ成立するのか、どこが盲点になるのか
| 盲点 | なぜ成立しやすいか | 実務上の弱点 |
|---|---|---|
| device code flow の利用実態を把握していない | 不要なまま許可され、攻撃者にも使えるためです。 | 認証フローの棚卸しが弱い |
| 正規の Microsoft 認証に見えると安心してしまう | 偽の login 画面より違和感が弱いためです。 | 利用者教育が URL 中心で止まっている |
| 共有端末や委託先運用が多い | 別端末で code を入力する行為が自然に見えやすいためです。 | 例外フロー管理が弱い |
| sign-in logs と token 利用を監視していない | 承認後の利用が通常の cloud access に見えやすいためです。 | identity 監視が弱い |
| 古い login 導線や support 導線が外から見えている | 『この code を入力してください』という口実を作りやすいためです。 | 外部接点の棚卸しが弱い |
正規フローの悪用だからこそ、利用者が警戒しにくくなります
Microsoft の Storm-2372 分析は、攻撃者が Teams や messaging app を通じて利用者を誘導し、正規の device code 認証画面で code を入力させる流れを示しています。ここで問題になるのは、利用者が「正規の認証画面だから安全だろう」と感じやすいことです。
つまり、この攻撃は URL の不自然さだけでは見抜きにくい面があります。Device code flow を必要な業務だけへ限定し、その flow 自体を管理対象として意識することが重要になります。
不要な device code flow を許したままだと、防御面が広がります
Microsoft Security Blog のDefending against evolving identity attack techniquesは、認証フローそのものの悪用に対して、flow の制御と sign-in telemetry の活用が重要だと説明しています。Device code flow を使わない組織がこれを開けたままにしていると、不要な認証面が一つ増えることになります。
ここは外部接続点の可視化と同じ発想です。必要な面だけを残し、使っていない flow は閉じる。認証方式も attack surface の一部として見る方が実務に合います。
承認後の token 利用を見ないと、被害の始まりを見逃します
デバイスコードフィッシングの危険は、承認が終わった後にあります。攻撃者は取得した token を使って、メールやファイル、クラウド管理面へアクセスしやすくなります。Password spray や BEC と同じく、突破後の利用をどう監視するかが重要です。
そのため、承認の瞬間だけでなく、場所、端末、アプリ、privileged account での不自然なアクセスを追う必要があります。Identity 監視が弱いと、正規ログインに見えるまま取りこぼします。
被害の広がり方と企業側のリスク
device code flow を実際には使っていないのに許可している
不要な認証面を攻撃者へ残してしまうためです。
一度の承認で、メールやクラウド操作へつながる可能性があります
Device code phishing は、誤承認や誤入力のあとに token が発行されるため、その後の cloud access が静かに始まる可能性があります。外から見ると『正規の認証が通っただけ』に見えるため、検知が遅れやすくなります。
だからこそ、承認後は mailbox access、管理面アクセス、委託先アカウントの活動まで含めて確認しなければなりません。認証フローの悪用は、承認の瞬間より承認後の利用の方が被害の本体です。
『正規の Microsoft 画面』という安心感が、むしろ防御を弱めます
利用者教育では、怪しい URL や typo domain を教えることが多いですが、デバイスコードフィッシングはそこをすり抜けやすい面があります。利用者が正規フローだと思ったまま、攻撃者が用意した device code を自分で通してしまうからです。
そのため、利用者教育は「怪しい URL を踏まない」だけで終わらせず、「自分から要求していない code 入力や承認は進めない」というフロー起点の教育に変える必要があります。
検知・防御・運用で押さえるべき対策
device code flow を本当に使っている業務と例外を棚卸しする
会議室端末、共有デバイス、サイネージ、CLI、業務機器など、device code flow を必要とする実運用がどこにあるかを確認し、不要な許可を減らします。
利用実態の把握不要な device code flow は block し、必要な利用は条件で絞る
Authentication flows policy や conditional access を使い、不要な flow は止めます。必要な領域も、対象利用者、端末、場所、時間帯を絞り込みます。
悪用余地の縮小sign-in logs と token 利用を横断監視する
Device code flow 由来の sign-in、急な場所変更、privileged account での不自然な認証、承認後のメール・管理面アクセスをまとめて見ます。
正規フロー悪用の可視化疑わしい承認後は token と session を即時失効する
password 変更だけでなく、refresh token の失効、セッション再認証、関連アプリと mailbox rule の確認までを標準化します。
被害拡大の抑制外から見える login 導線と support 導線を減らす
古い portal、サポート窓口、社外向け login 案内、委託先向け入口を棚卸しし、『このコードを入力してください』という口実を成立させにくくします。
再発防止の定着最初にやるべきは『本当に必要か』の確認です
Device code flow は、共有端末や入力制約のある機器では必要な場面があります。しかし、多くの一般利用者には不要なことも多く、使っていないのに開いたままなら attack surface を増やします。まずはどの業務で device code flow が本当に必要なのかを棚卸ししてください。
必要性が説明できない flow は閉じる、必要なものも対象利用者と端末を絞る。この整理だけで悪用余地は大きく減ります。
必要な flow も、例外運用ではなく条件付きで残すべきです
完全に止められない場合でも、対象端末、対象アカウント、場所、時間帯を絞ることが重要です。とくに high privilege なアカウントでは、device code flow を原則禁止する方が安全です。
これはMFA未適用アカウントやパスワードスプレー攻撃と同じで、例外を広く残すほど攻撃者はそこを狙います。
不審承認後は token と session を即時に剥がす必要があります
Device code phishing では、承認後に token が既に発行されている可能性があるため、password 変更だけで終えるのは弱い対応です。Refresh token の失効、セッション revoke、関連メールルールと共有設定の確認までを初動の標準手順にする必要があります。
ここが遅いと、正規フロー悪用という理由で不自然さに気付きにくいまま、メールやクラウド管理面の被害が進みます。認証フローの悪用は、承認の瞬間よりも承認後の token 利用に注意を向けるべきです。
デバイスコードフィッシングの口実になりやすい外部導線の棚卸しなら ASM診断 PRO
ASM診断 PRO は、外から見える login URL、古い portal、サポート窓口、委託先向け入口の棚卸しを始める起点として使えます。
ASM診断 PRO は device code flow を制御する identity 製品の代替ではありません。ただし、攻撃者が『この code を入力してください』という自然な口実を作りやすい外部導線を棚卸しする入口として使えます。
古い login URL、残存したサポート窓口、委託先向け入口、放置された公開導線が多いほど、正規認証を装った説明が成立しやすくなります。Flow 制御だけでなく、説明材料になる公開面を減らす判断につなげやすくなります。
次のアクション
公開 login 導線や古い portal を棚卸しするなら ASM診断 PRO
外部公開資産の現状を無料で確認し、login URL、サポート導線、委託先向け入口、古い portal など、デバイスコードフィッシングの口実になりやすい公開面を洗い出してください。
よくある質問
デバイスコードフィッシングは偽の login 画面を使う攻撃ですか?
必ずしもそうではありません。正規の device code flow を悪用し、利用者に code を入力させて token を得る点が特徴です。だからこそ見た目の違和感が弱くなります。
OAuth同意フィッシングと何が違いますか?
OAuth同意フィッシングは app への権限付与を承認させる手口で、デバイスコードフィッシングは正規の認証フローを悪用して token を得る手口です。突破の前提が異なります。
すべての組織で device code flow を止めるべきですか?
一律ではありません。会議室端末、共有デバイス、業務機器などで必要なケースがあります。ただし、利用実態がないまま開いているなら閉じるのが自然です。必要な場合も対象を絞って運用するべきです。
最初に何を監視すればよいですか?
Device code flow 由来の sign-in、privileged account の不自然な認証、承認後の場所や端末の違和感、メールや管理面への急なアクセス増加を優先して見てください。
ASM診断 PRO はこのテーマにどう役立ちますか?
認証フローそのものを制御する製品ではありませんが、外から見える login URL、サポート導線、古い portal を棚卸しし、攻撃者が正規認証を装う口実に使いやすい公開面を減らす判断を支援できます。
まとめ
デバイスコードフィッシング対策は、flow 制御、対象限定、ログ監視、token revoke、外部導線整理を同じ防御レイヤーとして持つと実務で回しやすくなります。
デバイスコードフィッシングは、正規の device code flow を悪用し、利用者に code を入力させて token を得る手口です。危険なのは、見た目が正規認証に近く、不要な flow を許したままでも違和感なく成立しやすいことです。
企業が優先すべきなのは、device code flow の利用実態を棚卸しすること、不要な flow を block すること、必要な flow も対象と条件を絞ること、sign-in logs と token 利用を監視すること、不審承認後に token と session を即時失効すること、そして説得材料になる公開導線を減らすことです。認証方式も attack surface の一部として扱ってください。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
device code phishing の定義、攻撃の流れ、標的範囲の整理に使用しました。
認証フロー悪用への防御設計と telemetry 活用の整理に使用しました。
device code flow を含む authentication flow の制御方針確認に使用しました。
privileged account 監視で見るべき sign-in logs の観点整理に使用しました。
初動で token revoke や session 失効を考える前提整理に使用しました。