2026-07-13

Forg365 PhaaSがMicrosoft 365を狙うデバイスコードとAitMセッション窃盗

Forg365という新たなフィッシング・アズ・ア・サービス(PhaaS)オペレーションが、デバイスコードフィッシングやAitM(Adversary-in-the-Middle)手法を駆使してMicrosoft 365アカウントを狙っています。この攻撃は、Telegramを通じて配布され、月額400ドルまたは年額3,800ドルで提供されています。攻撃者は、正規のメール配信インフラを利用してフィッシングリンクを送信し、被害者をForg365が管理するドメインに誘導します。特に、Microsoftの認証画面を模したフィッシングページを使用し、被害者が正規のサインインフローに従うように仕向けます。これにより、攻撃者は被害者のセッションを奪取することが可能になります。

メトリクス

このニュースのスケール度合い

7.5 /10

インパクト

7.5 /10

予想外またはユニーク度

8.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.5 /10

このニュースで行動が起きる/起こすべき度合い

7.5 /10

主なポイント

  • Forg365は、デバイスコードフィッシングとAitM手法を組み合わせた新しいPhaaSオペレーションです。
  • 攻撃者は、正規のメールインフラを利用してフィッシングリンクを送信し、被害者を誘導します。

社会的影響

  • ! この攻撃は、企業や個人のMicrosoft 365アカウントに対する脅威を高めています。
  • ! フィッシング攻撃の手法が進化することで、より多くの人々が被害に遭う可能性があります。

編集長の意見

Forg365の登場は、フィッシング攻撃の新たな進化を示しています。特に、デバイスコードフィッシングやAitM手法を組み合わせることで、攻撃者はより巧妙に被害者を騙すことが可能になっています。このような手法は、従来のフィッシング攻撃よりも難易度が高く、被害者が気づかないうちに情報を盗まれるリスクが増大します。企業や個人は、フィッシング攻撃に対する意識を高め、セキュリティ対策を強化する必要があります。特に、デバイスコード認証を使用している場合は、その利用を見直すことが重要です。また、フィッシングメールの特徴を理解し、疑わしいメールには注意を払うことが求められます。今後、攻撃者はさらに高度な手法を用いる可能性があるため、常に最新の情報を把握し、適切な対策を講じることが重要です。企業は、従業員に対するセキュリティ教育を強化し、フィッシング攻撃に対する防御策を講じることが求められます。これにより、被害を未然に防ぐことができるでしょう。

解説

Forg365はデバイスコード×AitMでMicrosoft 365セッションを奪う——PhaaS量産時代のMFAバイパスが現実化しています

今日の深掘りポイント

  • デバイスコード流用は「正規のMicrosoftドメインで操作させる」ため、URL目視チェックや一般的な啓発だけでは止まりにくい構造です。ポリシーと認可面を締めることが肝心です。
  • AitMによるセッションクッキー窃取はMFA実施後でも有効です。デバイス準拠やCA(条件付きアクセス)、CAE(Continuous Access Evaluation)で「クッキーの持ち出し価値」を下げる発想が有効です。
  • Forg365はPhaaSとして月額/年額で販売され、正規のメール配信基盤を悪用して広域に拡散します。防御側は「認証」「メール」「OAuth/アプリ権限」の3面で一体運用が必須です。
  • インシデント対応は「パスワード変更」だけでは不十分です。セッション無効化、OAuth同意の取り消し、悪性メーラールール削除までを標準手順に組み込むべきです。
  • 本件は今すぐ着手して成果が出やすい領域(アプリ同意/CA/メールルール監査)に直結します。現実的かつ行動可能な対策を優先実装する局面です。

はじめに

Microsoft 365アカウントを狙う新しいフィッシング・アズ・ア・サービス(PhaaS)「Forg365」が観測されています。報道によれば、Telegram経由で提供され、月額400ドル/年額3,800ドルで購買でき、正規のメール配信インフラを経由したフィッシング配信、Microsoftのサインイン画面に酷似したページによる誘導、そしてAitM(Adversary-in-the-Middle)でのセッション奪取を組み合わせる構成です。さらに、OAuthのデバイスコード認可フローを悪用して、ユーザーに「正規ページ上」で操作させる点が、受信者の警戒心と組織の検知回避に働くのが厄介なところです。この手口はMFA迂回の実効性が高く、サプライチェーン横断でのBEC(二次不正送金)やデータ持ち出しの足がかりになりやすいと見ます。
一次報道の要点はThe Hacker Newsがまとめていますが、本稿では技術的・運用的な文脈を接続し、現場の優先順位に落とし込む深掘りを行います。

参考: Forg365 PhaaS targets Microsoft 365 via device code and AitM (The Hacker News)

深掘り詳細

まず事実関係(報道と仕様の確認)

  • Forg365はTelegramで流通するPhaaSで、月額400ドル/年額3,800ドルの価格帯と報じられています。正規のメール配信基盤を経由してフィッシングリンクを送り、攻撃者管理のドメインへ誘導する運用です。AitMでMicrosoft 365のセッションを奪取し、MFA後のクッキーを再利用できる設計が示唆されています。The Hacker News
  • OAuth 2.0のデバイス認可(Device Code)フローは、画面のない/操作が限定的なデバイスでの認可に用いられ、ユーザーは正規のMicrosoftドメイン上でコードを入力し、同意・認証を完了します。攻撃者が用意したアプリ登録へ被害者が「正当な操作」のつもりで同意してしまうと、攻撃者側がトークンを取得できてしまいます(仕様としては正当ですが、ソーシャルエンジニアリングに弱い)Microsoft Docs: OAuth 2.0 device code
  • AitMは被害者と正規サイトの間に挟まり、資格情報やセッションクッキーを奪う代表的な戦法です。MITRE ATT&CKでも定義されており、セッションクッキー自体の窃取・再利用は別テクニックとして整理されています(後述のマッピング参照)。

以上は、Forg365固有の「新機能」というより、実績のある技法の組み合わせをPhaaSで量産・即応化した点が本質です。

Packet Pilotの視点(なぜいま問題か、どこで止めるか)

  • ユーザー教育の限界が露呈します。デバイスコード誘導はlogin.microsoftonline.comなど正規ドメインでの操作を前提にするため、「URLを確認しましょう」という啓発は回避されがちです。したがって、テナント側で「誰が・どのアプリに・どのスコープを」同意できるかを締める運用(ユーザー同意の原則禁止+管理者承認ワークフロー必須化)が、最短距離のリスク低減になります。
  • AitM+セッションクッキー奪取はMFA後でも有効です。対抗は「そのクッキー(またはトークン)を別環境へ持ち出しても使い物にならない」状態にすることです。条件付きアクセスで「準拠デバイス必須」「ハイリスクサインインのブロック」「サインイン頻度の短縮」「場所/ネットワーク制限」を組み合わせ、CAE(Continuous Access Evaluation)でセッションの再評価トリガーを強化すると、攻撃者が別IP/別デバイスでクッキーを再利用する困難度が上がります。Microsoft Docs: CAE
  • メール基盤への依存だけでは追いつきません。正規配信インフラを用いたフィッシングは、SPF/DKIM/DMARC整合性や送信評判を盾に初期検出網をくぐりやすいです。メールセキュリティの強化は必要条件ですが、同時に「同意・セッション・アプリ権限」の後段対策を前提に設計すべきタイミングです。
  • インシデント対応の標準手順を刷新すべきです。MFAリセットやパスワード変更だけでは、攻撃者が取得したリフレッシュトークン、既存のOAuth同意、設定済みのメール自動転送/隠蔽ルールなどが温存されます。セッション無効化、アプリ同意の取り消し、メールルールの検査/削除までを「一括廃棄の型」として持つことが、短時間での業務復旧と再侵入阻止につながります。

なお、「AI生成ルアー」等の工夫がForg365で特定的に使われているかは一次情報では確証がありません。本稿では可能性として留保し、対策の本質(同意・セッション・端末拘束)に焦点を当てます。

脅威シナリオと影響

以下は報道に基づく一般化シナリオであり、一部は防御側設計を促す目的の仮説を含みます(仮説は明記します)。

  • シナリオ1(デバイスコード同意型:持続的APIアクセス)[事実+一般化]

    1. フィッシングリンクで攻撃者管理のランディングへ誘導(MITRE: T1566.002 Spearphishing Link)。
    2. ユーザーに正規のデバイスコード入力を促す。ユーザーはMicrosoftの正規ページで認証・同意を完了。
    3. 攻撃者のアプリ登録に対するトークン(+offline_accessがあればリフレッシュトークン)を取得(MITRE: T1528 Steal Application Access Tokenの観点で結果は同等)。
    4. Graph API等を通じてメール/ファイルへ継続アクセス、データ持ち出し(MITRE: T1567 Exfiltration Over Web Services)。
      影響: パスワード変更やMFAリセットだけではトークン/同意が生き残るため、静かな長期侵害になりやすいです。
  • シナリオ2(AitMセッション奪取:即時の業務アカウント乗っ取り)[事実+一般化]

    1. AitMで正規ログインを中継し、MFA後のセッションクッキーを窃取(MITRE: T1557 Adversary-in-the-MiddleT1539 Steal Web Session Cookie)。
    2. 攻撃者環境でクッキーを再利用しOutlook/SharePointへ即時侵入(MITRE: T1550.004 Use Alternate Auth Material: Web Cookies)。
    3. 受信トレイ隠蔽や自動転送のためのメールルールを作成(MITRE: T1114.003 Email Forwarding Rule)。
    4. 既存スレッドの乗っ取りでBEC/請求書改ざん、サプライヤ/顧客へ水平展開。
      影響: 複数テナントを跨いだ財務不正のリスク。クッキー再利用を難しくするCA/CAE設計が効果的です。
  • シナリオ3(仮説:AitM後にOAuth同意で永続化)[仮説]

    1. シナリオ2の後、被害者セッションを用いて「攻撃者管理のエンタープライズアプリ」に高権限同意を追加(管理者ロール不在でもユーザー同意範囲で侵害継続)。
    2. クッキーが失効してもリフレッシュトークン/OAuth同意が残るため継続アクセス。
      影響: 「クッキー→アプリ同意」への切替で持続化。対応はアプリ同意一覧の棚卸しと取り消しが鍵です。

総じて、Forg365系の運用は到達率・即応性・再現性が高く、短い時間軸での侵害成立と、長い時間軸での持続化の両方に適しています。メトリクス的に見ても緊急性と実行可能性が高いタイプの脅威で、まずは「いま有効な運用ガード」を差し込むのが得策です。

セキュリティ担当者のアクション

  • すぐにやること(今週中)

    • アプリ同意とOAuthガバナンス
      • ユーザーの自己同意を原則禁止し、管理者承認ワークフローを必須化します。
      • 既存の「同意済みアプリ」を棚卸しし、不要/過剰スコープの同意を取り消します(特にMail.、Files.、offline_access)。
    • 条件付きアクセス(CA)とセッション管理
      • 機密度の高いクラウドアプリ(Exchange Online/SharePoint/Teams/Entraポータル)に対し「準拠デバイス必須」「場所/ネットワーク制限」「サインイン頻度の短縮」を段階的に適用します。
      • Continuous Access Evaluation (CAE)を有効化し、IP/リスク変動でセッション再評価を促進します。
    • メールセキュリティと運用
      • 受信トレイの自動転送/仕分け等の新規ルール作成を重点監査し、未知の転送先や不可視化パターンをブロック/是正します(監査ログでNew-InboxRule等を確認。参考: Microsoft Purview 監査)。
      • 新規登録ドメイン/短命ドメインからのURLを積極的に検査するポリシーをメールゲートウェイ/Defender for Office 365で強化します。
    • インシデント対応の型の更新
      • 侵害疑い時の「標準セット」を定義・訓練します:セッション失効、パスワード/リフレッシュトークン無効化、OAuth同意の取り消し、メールルール削除、二次被害(BEC/請求書)の対外連絡。
  • 短期(30日以内)で固めること

    • 認証強度の底上げ
      • 管理者/高価値ユーザーにはフィッシング耐性の高い認証(FIDO2/CBA等)を適用し、「認証強度」を条件付きアクセスの必須条件に設定します。
    • デバイスコード/クライアントの取り扱い設計
      • デバイスコードフローやブラウザーレス/レガシークライアントの取り扱いを明文化し、必要最小限へ。該当クライアントには厳格なCAを適用します。
    • 検知とハンティング
      • 監査・サインインログで「短時間の新規同意→大量APIアクセス」「不審UA/ASNからのクッキー再利用」「New-InboxRuleの直後に外部転送」等の相関ルールを用意します。
    • サプライチェーン準備
      • BEC発生時に即時周知できる対外コミュニケーション手順(請求書差替えの注意喚起など)を整備します。
  • 現場Tips(よくある落とし穴の回避)

    • 「パスワード変更で安心」は禁物です。セッション・トークン・同意・ルールに必ず目を配ります。
    • メール対策の強化だけに偏らず、「認可(OAuth)」「セッション(CA/CAE)」「端末(準拠)」に均等に投資します。
    • 例外(非常口アカウント)は最小に保ち、運用レビューを定期化します。

参考情報

本稿は一次情報で確からしい範囲に絞って記述し、推測は明示しました。Forg365は特別な魔法ではなく、既存手口の「量産と即戦力化」に価値があるタイプです。だからこそ、防御側も「型」を整え、「いま効く運用ガード」を素早く差し込むことが勝ち筋になります。明日の攻撃メールを止めるために、今日の設定変更から始めます。

背景情報

  • i フィッシング・アズ・ア・サービス(PhaaS)は、攻撃者がフィッシングキャンペーンを簡単に実行できるようにするためのサービスです。Forg365は、特にMicrosoft 365をターゲットにしており、デバイスコードフィッシングやAitM手法を駆使して、被害者のセッションを奪取します。これにより、攻撃者は被害者のアカウントにアクセスし、情報を盗むことが可能になります。
  • i Forg365は、正規のメール配信サービスを利用してフィッシングメールを送信します。これにより、受信者はメールが正当なものであると信じ込み、リンクをクリックしてしまう可能性が高まります。攻撃者は、被害者がMicrosoftの認証ページにアクセスしているように見せかけることで、セッションを奪取することができます。