この記事のポイント
- デバイスコードフィッシングは、偽の認証画面を壊すのではなく、正規の device code flow を悪用する点が主役です。
- 危険なのは、device code flow の利用実態を把握しないまま許可し、承認後のトークン利用やサインインログを見ていないことです。
- ASM診断 PRO は認証基盤の代替ではありませんが、外から見えるログイン導線、委託先向け入口、古い portal の棚卸しに役立ちます。
まず無料で確認する
無料でASM診断を開始
デバイスコードフィッシングで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
デバイスコードフィッシングとは何か
デバイスコードフィッシングは、共有端末や別端末で使う正規認証フローを悪用し、利用者にコード入力を促してトークンを取得する攻撃として捉えると理解しやすくなります。
正規の device code flow を悪用してトークンを得る手口です
デバイスコードフィッシングは、device code flow という本来は正規の認証フローを悪用する手口です。利用者へコードの入力を促し、そのコードを攻撃者側の認証要求へ結び付けることでトークンを得ます。Microsoft Security Blog のStorm-2372 conducts device code phishing campaignは、この流れを device code phishing として詳しく整理しています。
ここでの危険は、利用者が『Microsoft の正規認証らしい』と受け取りやすいことです。偽のログイン画面へパスワードを入れるのではなく、正規フローに見える操作の先でトークンが発行されるため、違和感が弱くなります。
OAuth同意フィッシングとの違いは、app consent ではなく認証フロー悪用が主役な点です
OAuth同意フィッシングは app への権限付与を承認させる手口で、主役は consent です。一方でデバイスコードフィッシングの主役は、正規の認証フローそのものを悪用してトークンを発行させることにあります。
そのため、管理者が最初に見るべき設定も少し違います。OAuth同意フィッシングなら consent policy が中心ですが、デバイスコードフィッシングではdevice code flow をどこで許し、どう監視するかが中心になります。
AiTM よりも『正規フローに見えやすい』点が盲点になります
AiTMは中継サイトの存在を前提にしますが、デバイスコードフィッシングは正規ドメインや正規フローと見分けが付きにくい場面があります。利用者から見ると「別端末で code を入力して認証する」という行為自体が業務上自然に見えるからです。
だからこそ、対策は『怪しい URL を踏まない』だけでは足りません。そもそも device code flow を必要な業務だけに絞っているか、承認後のトークン利用をどこまで監視しているかが重要になります。
よく使われる誘導文句は『会議参加』『サポート』『共有端末設定』です
Microsoft の公表でも、攻撃者は Teams やメッセージングアプリを通じて「会議へ参加するにはこのコードが必要です」「サポート作業のために確認コードを入れてください」といった自然な依頼を使います。検索する人が知りたいのも、技術名よりこうした実際の口実です。
共有端末、会議室機器、CLI、社外ベンダー支援のように device code が本当にあり得る業務ほど、利用者は疑いにくくなります。だから利用者教育では「コード入力の URL を見る」だけでなく、「その依頼が本当にその場で必要か」を確認させる必要があります。
なぜ成立するのか、どこが盲点になるのか
| 盲点 | なぜ成立しやすいか | 実務上の弱点 |
|---|---|---|
| device code flow の利用実態を把握していない | 不要なまま許可され、攻撃者にも使えるためです。 | 認証フローの棚卸しが弱い |
| 正規の Microsoft 認証に見えると安心してしまう | 偽のログイン画面より違和感が弱いためです。 | 利用者教育が URL 中心で止まっている |
| 共有端末や委託先運用が多い | 別端末で code を入力する行為が自然に見えやすいためです。 | 例外フロー管理が弱い |
| サインインログとトークン利用を監視していない | 承認後の利用が通常のクラウド利用に見えやすいためです。 | identity 監視が弱い |
| 古いログイン導線やサポート導線が外から見えている | 『このコードを入力してください』という口実を作りやすいためです。 | 外部接点の棚卸しが弱い |
正規フローの悪用だからこそ、利用者が警戒しにくくなります
Microsoft の Storm-2372 分析は、攻撃者が Teams や messaging app を通じて利用者を誘導し、正規の device code 認証画面で code を入力させる流れを示しています。ここで問題になるのは、利用者が「正規の認証画面だから安全だろう」と感じやすいことです。
つまり、この攻撃は URL の不自然さだけでは見抜きにくい面があります。Device code flow を必要な業務だけへ限定し、その flow 自体を管理対象として意識することが重要になります。
不要な device code flow を許したままだと、防御面が広がります
Microsoft Security Blog のDefending against evolving identity attack techniquesは、認証フローそのものの悪用に対して、flow の制御と sign-in telemetry の活用が重要だと説明しています。Device code flow を使わない組織がこれを開けたままにしていると、不要な認証面が一つ増えることになります。
ここは外部接続点の可視化と同じ発想です。必要な面だけを残し、使っていない flow は閉じる。認証方式も attack surface の一部として見る方が実務に合います。
承認後の token 利用を見ないと、被害の始まりを見逃します
デバイスコードフィッシングの危険は、承認が終わった後にあります。攻撃者は取得した token を使って、メールやファイル、クラウド管理面へアクセスしやすくなります。Password spray や BEC と同じく、突破後の利用をどう監視するかが重要です。
そのため、承認の瞬間だけでなく、場所、端末、アプリ、privileged account での不自然なアクセスを追う必要があります。Identity 監視が弱いと、正規ログインに見えるまま取りこぼします。
実務では、「deviceCode」由来のサインイン、短時間での地理的変化、通常使わないアプリへのアクセス、財務・役員メールボックスの閲覧開始をセットで見ると、違和感を拾いやすくなります。単に「認証成功があった」だけでは、検索意図に対して必要な答えになりません。
最近の事例から何を学ぶべきか
デバイスコードフィッシングは、仕様上の欠陥というより、正規機能が実務の隙と結び付いたときに成立する攻撃です。だから最近の公表事例を読むと、 どの口実が通りやすく、どの組織で気付きにくく、どの監視が抜けやすいかが見えてきます。
検索してこの記事へ来る読者が知りたいのも、「技術的にどう動くか」だけでなく、自社でどういう場面なら起こり得るか です。そこで Microsoft の公表から、 口実、標的、運用上の教訓に分けて整理します。
会議参加やサポート依頼のような『自然な依頼』が口実になります
Microsoft が公表した Storm-2372 の事例では、攻撃者は Teams やメッセージングアプリ経由で接触し、会議参加や業務支援を装ってコード入力を促しました。 ここで重要なのは、利用者が「その依頼ならありそうだ」と感じる文脈が使われていることです。怪しい添付ファイルではなく、業務で見慣れた依頼の形 の方が通りやすくなります。
そのため教育では、URL やドメインの確認だけでなく、「自分から要求していないコード入力は止める」「会議参加やサポート作業でも、依頼元を別経路で確認する」という フロー中心の確認が必要です。正規操作に見える攻撃ほど、文面の違和感だけでは止めにくくなります。
特に、社外ベンダーや一時的な支援メンバーとの連絡が多い組織では、「急ぎの対応」「今だけの設定」「会議開始直前」といった時間圧力も口実に使われやすくなります。 デバイスコードフィッシングでは、利用者が慌てているほど正規フローとの区別が付きにくくなるため、急ぎでも別経路確認を省略しない という運用ルールが効きます。
共有端末や例外運用が多い組織ほど、成立しやすい条件が増えます
device code flow は、本来は入力制約のある端末や共有機器で役立つ仕組みです。逆に言えば、そうした機器や例外運用が多い組織ほど、 「別端末でコードを入力する」という行為が不自然に見えにくくなります。会議室機器、サイネージ、検証端末、委託先支援、CLI 作業が多い環境では、本当に必要な利用と不要な許可を分ける作業 が重要です。
ここを棚卸しせずに flow だけ一律で開けていると、攻撃者にとっても「ありそうな場面」が増えます。技術設定だけでなく、どの業務で device code を使うのかを説明できる状態にしておくことが、防御そのものになります。
さらに、高権限者ほど「例外だから仕方ない」と許可を残しやすい点にも注意が必要です。管理者、委託先管理者、運用代行、サポート権限者で device code flow が必要かを見直すと、 実は一般利用者より高リスクな面にだけ例外が残っていることがあります。便利だから残す ではなく、業務上の必然性を説明できるかで判断してください。
また、device code phishing は会議招待やサポート依頼と結び付くため、認証部門だけで閉じると対策が弱くなります。情報システム、ヘルプデスク、委託先窓口、役員秘書、営業支援のように、 実際に社外との調整を多く行う部門がどんな依頼を日常的に受けるかまで見ておくと、どの口実が通りやすいかを具体的に想像できます。認証設定の話を業務文脈へ翻訳することで、device code flow の例外整理や利用者教育も実務に落とし込みやすくなります。
さらに、承認後の監視では、単に「deviceCode 由来のサインインがあった」だけでなく、その直後に何へアクセスしたかを見る必要があります。メールボックス閲覧、共有設定変更、 管理画面アクセス、委託先ポータル利用が短時間で連続すると、正規フロー悪用の違和感が浮きやすくなります。承認の事実と承認後の行動を分けずに追う ことが、 device code phishing を検知するうえでの実務的なポイントです。
結局のところ、この攻撃は「設定」「教育」「監視」のどれか一つでは止め切れません。三つを同時にそろえる視点が必要です。
特に device code flow のような正規機能悪用では、設定だけ厳しくしても現場の説明が追いつかず、教育だけ強めても承認後の監視が足りなければ被害が残ります。三つをそろえて初めて、攻撃の通り道が狭くなります。
さらに、device code phishing は利用者の善意と急ぎの業務を悪用するため、現場が「ありそうな依頼」をどう扱うかまで設計しないと止まりません。設定、教育、監視を同時に変えることが、この攻撃では特に重要です。
現場の会話まで変えて初めて、正規フロー悪用への防御が日常運用として実務に定着します。例外も減らせます。判断もぶれにくくなります。
管理者は『承認させないこと』と同じくらい『承認後に気付くこと』を重視すべきです
実務では、利用者が一度でも承認してしまった後にどれだけ早く気付けるかが被害を左右します。サインインログ、メールボックス閲覧、通常使わないアプリへの接続、 管理画面アクセス、更新用トークンの継続利用を追えると、承認後の違和感を拾いやすくなります。
デバイスコードフィッシングは、偽ページ検知よりも、承認後の行動異常を追う運用 の比重が大きいテーマです。承認そのものをゼロにできなくても、 不審な利用開始からトークン失効、再認証、関連アカウント確認までを短く回せれば、被害の広がりは抑えやすくなります。
逆に言えば、承認後の利用を追えない組織では、利用者教育だけでは防ぎ切れません。認証は通ってしまう前提で、どのログを見て、誰が止め、どこまで再認証を広げるかを決めておくことが、 device code phishing を実務で扱う最低条件になります。
被害の広がり方と企業側のリスク
device code flow を実際には使っていないのに許可している
不要な認証面を攻撃者へ残してしまうためです。
一度の承認で、メールやクラウド操作へつながる可能性があります
Device code phishing は、誤承認や誤入力のあとにトークンが発行されるため、その後のクラウド利用が静かに始まる可能性があります。外から見ると『正規の認証が通っただけ』に見えるため、検知が遅れやすくなります。
だからこそ、承認後はメールボックス閲覧、管理面アクセス、委託先アカウントの活動まで含めて確認しなければなりません。認証フローの悪用は、承認の瞬間より承認後の利用の方が被害の本体です。
『正規の Microsoft 画面』という安心感が、むしろ防御を弱めます
利用者教育では、怪しい URL やタイプミスを含むドメインを教えることが多いですが、デバイスコードフィッシングはそこをすり抜けやすい面があります。利用者が正規フローだと思ったまま、攻撃者が用意した device code を自分で通してしまうからです。
そのため、利用者教育は「怪しい URL を踏まない」だけで終わらせず、「自分から要求していないコード入力や承認は進めない」というフロー起点の教育に変える必要があります。
検知・防御・運用で押さえるべき対策
device code flow を本当に使っている業務と例外を棚卸しする
会議室端末、共有デバイス、サイネージ、CLI、業務機器など、device code flow を必要とする実運用がどこにあるかを確認し、不要な許可を減らします。
利用実態の把握不要な device code flow は block し、必要な利用は条件で絞る
Authentication flows policy や conditional access を使い、不要な flow は止めます。必要な領域も、対象利用者、端末、場所、時間帯を絞り込みます。
悪用余地の縮小サインインログとトークン利用を横断監視する
Device code flow 由来のサインイン、急な場所変更、高権限アカウントでの不自然な認証、承認後のメール・管理面アクセスをまとめて見ます。
正規フロー悪用の可視化疑わしい承認後はトークンとセッションを即時失効する
パスワード変更だけでなく、更新用トークンの失効、セッション再認証、関連アプリとメールルールの確認までを標準化します。
被害拡大の抑制外から見えるログイン導線とサポート導線を減らす
古い portal、サポート窓口、社外向けログイン案内、委託先向け入口を棚卸しし、『このコードを入力してください』という口実を成立させにくくします。
再発防止の定着最初にやるべきは『本当に必要か』の確認です
Device code flow は、共有端末や入力制約のある機器では必要な場面があります。しかし、多くの一般利用者には不要なことも多く、使っていないのに開いたままなら攻撃対象領域を増やします。まずはどの業務で device code flow が本当に必要なのかを棚卸ししてください。
必要性が説明できない flow は閉じる、必要なものも対象利用者と端末を絞る。この整理だけで悪用余地は大きく減ります。
必要な flow も、例外運用ではなく条件付きで残すべきです
完全に止められない場合でも、対象端末、対象アカウント、場所、時間帯を絞ることが重要です。とくに高権限アカウントでは、device code flow を原則禁止する方が安全です。
これはMFA未適用アカウントやパスワードスプレー攻撃と同じで、例外を広く残すほど攻撃者はそこを狙います。
不審承認後はトークンとセッションを即時に剥がす必要があります
Device code phishing では、承認後にトークンが既に発行されている可能性があるため、パスワード変更だけで終えるのは弱い対応です。更新用トークンの失効、セッション取り消し、関連メールルールと共有設定の確認までを初動の標準手順にする必要があります。
ここが遅いと、正規フロー悪用という理由で不自然さに気付きにくいまま、メールやクラウド管理面の被害が進みます。認証フローの悪用は、承認の瞬間よりも承認後のトークン利用に注意を向けるべきです。
デバイスコードフィッシングの口実になりやすい外部導線の棚卸しなら ASM診断 PRO
ASM診断 PRO は、外から見えるログイン URL、古い portal、サポート窓口、委託先向け入口の棚卸しを始める起点として使えます。
ASM診断 PRO は device code flow を制御する identity 製品の代替ではありません。ただし、攻撃者が『この code を入力してください』という自然な口実を作りやすい外部導線を棚卸しする入口として使えます。
古いログイン URL、残存したサポート窓口、委託先向け入口、放置された公開導線が多いほど、正規認証を装った説明が成立しやすくなります。Flow 制御だけでなく、説明材料になる公開面を減らす判断につなげやすくなります。
特に、ブランド違いの portal、古い委託先向け案内、社外向けサポートページ、周辺ドメインのログイン導線が残っていると、「その手順ならありそうだ」と思わせる材料になります。 ASM診断 PRO で外から見える導線を整理しておくと、認証フロー悪用の口実になりやすい公開面 を先に減らしやすくなります。
つまり ASM診断 PRO の役割は、認証を止めることではなく、攻撃者が説明に使える公開面を減らすことです。社外向けログイン案内、サポート導線、古い portal が整理されるほど、 「このコードを入れてください」という説明の説得力も下げやすくなります。
実務では、認証フローの設定変更と公開導線の整理が別担当になりやすいため、どちらか片方だけ進んで終わることがあります。けれども device code phishing は、 正規フローに見える説明が成立して初めて通りやすくなるため、設定と公開面の両方 を揃えて見直した方が再発防止へつながります。
次のアクション
公開ログイン導線や古い portal を棚卸しするなら ASM診断 PRO
外部公開資産の現状を無料で確認し、ログイン URL、サポート導線、委託先向け入口、古い portal など、デバイスコードフィッシングの口実になりやすい公開面を洗い出してください。
よくある質問
デバイスコードフィッシングは偽のログイン画面を使う攻撃ですか?
必ずしもそうではありません。正規の device code flow を悪用し、利用者にコードを入力させてトークンを得る点が特徴です。だからこそ見た目の違和感が弱くなります。
OAuth同意フィッシングと何が違いますか?
OAuth同意フィッシングは app への権限付与を承認させる手口で、デバイスコードフィッシングは正規の認証フローを悪用してトークンを得る手口です。突破の前提が異なります。
すべての組織で device code flow を止めるべきですか?
一律ではありません。会議室端末、共有デバイス、業務機器などで必要なケースがあります。ただし、利用実態がないまま開いているなら閉じるのが自然です。必要な場合も対象を絞って運用するべきです。
最初に何を監視すればよいですか?
Device code flow 由来のサインイン、高権限アカウントの不自然な認証、承認後の場所や端末の違和感、メールや管理面への急なアクセス増加を優先して見てください。
ASM診断 PRO はこのテーマにどう役立ちますか?
認証フローそのものを制御する製品ではありませんが、外から見えるログイン URL、サポート導線、古い portal を棚卸しし、攻撃者が正規認証を装う口実に使いやすい公開面を減らす判断を支援できます。
まとめ
デバイスコードフィッシング対策は、flow 制御、対象限定、ログ監視、トークン失効、外部導線整理を同じ防御レイヤーとして持つと実務で回しやすくなります。
デバイスコードフィッシングは、正規の device code flow を悪用し、利用者にコードを入力させてトークンを得る手口です。危険なのは、見た目が正規認証に近く、不要な flow を許したままでも違和感なく成立しやすいことです。
企業が優先すべきなのは、device code flow の利用実態を棚卸しすること、不要な flow を止めること、必要な flow も対象と条件を絞ること、サインインログとトークン利用を監視すること、不審承認後にトークンとセッションを即時失効すること、そして説得材料になる公開導線を減らすことです。認証方式も攻撃対象領域の一部として扱ってください。
つまりこのテーマは、認証設定の一行変更だけでは終わりません。業務で本当に必要な flow を言語化し、承認後の利用監視を整え、外から見える導線を減らして初めて、防御が実務に落ちます。正規機能が悪用されるからこそ、運用の例外と公開面の整理 を同時に進めることが重要です。
device code phishing は、「偽ページにだまされない」だけでは防げないことを示す典型例でもあります。許可する flow を絞る、承認後を監視する、公開導線を減らす、 という三段構えで考えると、設定変更と運用変更を同じ計画へ載せやすくなります。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
device code phishing の定義、攻撃の流れ、標的範囲の整理に使用しました。
認証フロー悪用への防御設計と telemetry 活用の整理に使用しました。
device code flow を含む authentication flow の制御方針確認に使用しました。
privileged account 監視で見るべき sign-in logs の観点整理に使用しました。
初動で token revoke や session 失効を考える前提整理に使用しました。