OAuth同意画面を悪用したSaaSアカウント乗っ取り、パスワード不要の「同意フィッシング」に警戒

背景

クラウドサービスやSaaSの普及に伴い、「Googleでログイン」「Microsoftアカウントでサインイン」といったOAuth連携が一般的になりました。これにより利便性が大幅に向上した一方で、攻撃者が正規のOAuth同意画面を悪用して権限を奪う「同意フィッシング（Consent Phishing）」と呼ばれる攻撃が、海外の政府機関や大企業を中心に継続的に報告されています。この手口では、ユーザーのIDやパスワードを盗む必要がなく、一度権限を付与させてしまえば、攻撃者は長期にわたりメールボックスやクラウドストレージへのアクセスを維持できる点が大きな特徴です。従来のフィッシング対策では防ぎきれない新たな脅威として注目されています。

実態

同意フィッシングでは、攻撃者がまず悪意あるOAuthアプリケーション（クラウドアプリ）を登録し、「メールの読み取り」「ファイルへのアクセス」「カレンダーの読み取り」など広範な権限を要求する設定を行います。その上で、フィッシングメールや偽のログインページを通じて、「新しい業務アプリの承認が必要です」「セキュリティ強化のためのアクセス許可をお願いします」などと案内し、ユーザーを正規のMicrosoft 365やGoogle Workspaceの同意画面に誘導します。ユーザーがこの画面で「承諾」ボタンをクリックすると、攻撃者のアプリに組織アカウントへのアクセス権が付与されます。ここで入力されるのはあくまで正規プロバイダのIDとパスワードであり、画面も本物であるため、従来の偽ログイン画面を見抜く方法が通用しにくいのが実態です。一度権限が付与されると、ユーザーがパスワードを変更してもアクセス権は維持されるため、攻撃者はメール転送設定の変更、機密ファイルのコピー、連絡先情報の窃取などを長期間にわたり継続できます。特に管理者権限を持つアカウントが標的となった場合、組織全体への影響が深刻化する傾向があります。

影響と対策

同意フィッシングによる被害は、メール・ファイル・連絡先・カレンダーなど、SaaS上のあらゆる情報資産の漏えいに直結します。しかも、アクセスは正規APIを通じて行われるため、一般的な不審ログイン検知では見落とされがちです。対策としては、まず管理者レベルで「ユーザーによる任意のアプリ承認を制限し、事前審査・承認されたアプリのみを許可する」ポリシー設定が重要です。Microsoft 365やGoogle Workspaceでは、OAuthアプリの承認フローを制御する機能が提供されています。また、FortiGateやCheck PointのセキュアWebゲートウェイ・CASB機能を活用し、リスクの高いクラウドアプリへのアクセスを制限したり、過剰な権限を要求するアプリを検出したりすることが有効です。併せて、管理コンソール上で定期的にOAuthアプリの一覧と付与権限を棚卸しし、不審なアプリの権限を速やかに取り消す運用プロセスの整備が求められます。ユーザー教育としては、「同意画面もフィッシングの対象になる」ことを周知し、不明なアプリに対する安易な承諾を避けるよう指導する必要があります。

まとめ

クラウド時代のアカウント乗っ取りは、もはやIDとパスワードの窃取だけではありません。OAuth同意画面を悪用した権限奪取は、正規の画面とAPIを利用するため検知が難しく、被害が長期化しやすい攻撃手法です。技術的制御と運用管理の両面から、新しい脅威への対策強化が不可欠です。PSI社では、ネットワーク製品を活用したSaaSアクセスの可視化・制御と、クラウド管理コンソールの設定見直し支援を通じて、同意フィッシングを含むクラウド特有の新しい脅威への対策強化をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp