OAuthクライアントIDの偽装により攻撃者がMicrosoft Entraの認証情報を検証可能に
OAuthクライアントIDの偽装技術が、少なくとも2つの異なる脅威アクターによって悪用されていることが報告されています。この手法により、攻撃者はMicrosoft Entra ID環境内でユーザーアカウントを列挙し、盗まれた認証情報を検証することが可能になります。攻撃者は、成功したサインインイベントを生成せずに、ユーザー名とパスワードの有効性を確認できるため、従来の防御手段を回避することができます。特に、攻撃者はOAuthクライアントIDを偽装し、HTTP POSTリクエストを通じてMicrosoftのOAuth 2.0トークンエンドポイントにアクセスすることで、アカウントの有効性を確認しています。
メトリクス
このニュースのスケール度合い
インパクト
予想外またはユニーク度
脅威に備える準備が必要な期間が時間的にどれだけ近いか
このニュースで行動が起きる/起こすべき度合い
主なポイント
- ✓ OAuthクライアントIDの偽装により、攻撃者はMicrosoft Entra ID環境での認証情報の検証を行うことができます。
- ✓ この手法は、攻撃者が成功したサインインイベントを生成せずに、ユーザー名とパスワードの有効性を確認できるため、従来の防御手段を回避します。
社会的影響
- ! この攻撃手法は、企業のクラウドサービスへの不正アクセスを可能にし、情報漏洩のリスクを高めます。
- ! ユーザーの認証情報が盗まれることで、企業の信頼性が損なわれ、顧客の個人情報が危険にさらされる可能性があります。
編集長の意見
解説
OAuthクライアントIDの“なりすまし”で、Microsoft Entraの認証検証が静かに進む──サインイン可視化の外側にある盲点です
今日の深掘りポイント
- 攻撃者はOAuth 2.0のトークンエンドポイントにHTTP POSTを投げ、クライアントIDを偽装しながらエラー応答の差異を読み解くことで、アカウント存在とパスワード有効性を検証している可能性が高いです。
- この手法は「成功したサインイン」を発生させずに進むため、従来のサインイン可視化や成功ログ中心の検出に死角を作ります。
- 2025年末以降、少なくとも2アクター、かつ一方は70万超の偽装クライアントIDで100万以上のアカウントを標的化という規模感が報告されています。攻撃の産業化が進んでいる兆候です。
- 技術的にはROPC(Resource Owner Password Credentials)やエラー正規化の不一致など、アイデンティティ基盤の“仕様の隙間”が突かれている構図に見えます。パスワードレスの徹底と条件付きアクセスの設計がカギです。
- 対応は「検出のすり抜け」を前提に、サインイン外のテレメトリやポリシー評価結果、エラーコードの傾向など“周辺信号”を面で拾いにいく設計が必要です。
はじめに
OAuthクライアントIDを偽装し、Microsoft Entra ID(旧Azure AD)のOAuth 2.0トークンエンドポイントで認証情報を検証する手口が、少なくとも2つの脅威アクターにより継続的に悪用されていると報告されています。攻撃者は「成功サインイン」を生じさせずに、ユーザー名やパスワードの正否、さらにはMFA要件の有無まで推測可能なため、組織側の検出と封じ込めに時間差を生じさせやすいです。
報道では、2025年12月以降の大規模キャンペーンの一つで、70万超の偽装クライアントIDが用いられ、100万以上のアカウントが標的化されたとされます。この規模は、国家レベルの作戦にも転用しうる“静かな下準備”としてのアカウント精査が産業化・自動化されていることを物語ります。The Hacker Newsの報道を起点に、技術的背景と防御上の示唆を整理します。
深掘り詳細
事実関係(確認できること)
- 攻撃は、MicrosoftのOAuth 2.0トークンエンドポイントに対するHTTP POSTで実施されます。OAuth 2.0の仕様上、クライアントIDはアプリを識別するパラメータで、パブリッククライアントでは秘匿されない前提の設計です。クライアントIDやgrant_type、スコープ等の組合せとサーバのエラー応答を観測することで、アカウントや認証要件の有無を推定する余地が生まれます(OAuth 2.0の一般仕様はRFC 6749を参照ください)です。RFC 6749
- 報道では、少なくとも2アクターの関与、70万超の偽装クライアントID、100万超アカウント標的という規模が示され、使われた手口は「成功サインインを発生させずに」有効性確認を進める点に特徴があるとされていますです。The Hacker News
- Microsoftのアイデンティティ基盤は、ROPC(Resource Owner Password Credentials)などパスワードベースのフローを仕様上はサポートする一方で、セキュリティ上の理由から非推奨としています。ROPCは対話なしでユーザーのパスワードを扱うため悪用余地が広く、ベストプラクティスはパスワードレス/対話型フローへの移行です。ROPCの技術仕様(Microsoft identity platform)
インサイト(なぜ効くのか、どこに盲点があるのか)
- 仕様の「安全でないが許容されうる経路」が攻撃面に転化している可能性です。具体的には、トークンエンドポイントのエラー応答が、ユーザー存在やパスワードの正否、あるいはMFA要求の有無を推測可能な粒度で差異を持つと、攻撃者は“応答オラクル”として再利用できてしまいます。これは脆弱性というより、プロトコル実装やエラーの正規化ポリシーの問題として現れやすい論点です。
- 検出の難しさは「成功サインインの非発生」と「クライアントIDの分散」にあります。成功ログに依存する可視化では捕捉が遅れ、さらに毎回異なる(偽装)クライアントIDを用いると、アプリケーション単位のしきい値やレート制御に引っかかりにくくなります。結果として、失敗イベントの粒が粗い環境では“広く薄く”の列挙が成立しやすいです。
- 防御の現実解は「ブロック1点突破」ではなく「多層の足し算」です。ROPCの無効化やパスワードレスの原則化、条件付きアクセスでのデバイス/強力要素の必須化により、仮にパスワードが正しくてもトークン発行自体を成立させない設計に寄せます。並行して、サインイン外のテレメトリ(エラー傾向、ポリシー評価結果、IP/UAの多様性)を面で観測して早期に異常を掴むことが現実的です。
- メトリクス上の示唆としては、新規性・即時性・再現性が高く、ポジティブなインパクトは期待しにくい脅威像です。組織側は“効いてしまう前提”で遮断・抑止・検出・回復の各フェーズを均等に強化することが、短期勝負の最適化よりも長期的な損害最小化につながると考えます。
脅威シナリオと影響
以下は報道と一般的な実装知見に基づく仮説シナリオです。実際のアクターごとの差分は環境依存であり、観測に基づく検証が必要です。
-
シナリオA:情報窃取型マルウェア→認証情報バケット→静的検証→BEC/侵入の前段最適化
- Stealerログ等から入手した大量の組織横断アカウントを、偽装クライアントIDを回しながらトークンエンドポイントで一括検証します。MFA要求の有無も推測し、成功見込みが高い組だけを人手で狙い撃ちします。メールルール改ざんや支払い詐欺に接続しやすいです。
- MITRE ATT&CK仮説:
- TA0007 Discovery / T1589 Gather Victim Identity Information(外部での資格情報収集)です。
- TA0006 Credential Access / T1110.003 Password Spraying(低頻度・分散型の検証)です。
- TA0001 Initial Access / T1078 Valid Accounts(有効な組合せを用いた侵入)です。
- TA0005 Defense Evasion / T1090 Proxy(分散プロキシで発信元を隠蔽)です。
-
シナリオB:ランサム前段の静かな土台作り
- ドメインごとにアカウント有無とパスワード有効性を“静音”で洗い出し、境界検出が弱いSaaS連携や過小権限監査のアプリへと橋渡しします。正規アカウントで入るためEDR・SIEMのしきい値に引っかかりにくいです。
- MITRE ATT&CK仮説:
- TA0003 Persistence / T1136 Create Account(後段での永続化)です。
- TA0006 Credential Access / T1556 Modify Authentication Process(MFA疲労・設定弱点の悪用含む)です。
- TA0001 Initial Access / T1078 Valid Accountsです。
-
シナリオC:地政学的作戦の前段偵察
- 公共・重要インフラの職員アカウントの“生存名簿化”を進め、選挙や危機時に短期集中で侵入するためのカタログを整えます。認証プロンプト爆撃やフィッシングと組み合わせて心理的圧力を加える可能性があります。
- MITRE ATT&CK仮説:
- TA0006 / T1621 Multi-Factor Authentication Request Generation(MFAプッシュ悪用)です。
- TA0007 / T1087 Account Discovery(アカウント列挙)です。
組織への影響は、短期では認証保護面のコスト増、長期では「パスワードが正しいか」を前提に設計された周辺業務(ヘルプデスク、Join/Move/Leave運用、委託先ID管理)への再設計圧力として顕在化します。ここを機に、パスワード中心の前提を見直すことが、結局はコスト最適化にもつながります。
セキュリティ担当者のアクション
“成功サインイン以外”の現象を可視化しながら、そもそもトークンが発行されないアーキテクチャへ寄せる二段構えを提案します。
-
すぐに着手(今週中)
- パスワードベースのフロー棚卸しです。ROPCを利用する社内/委託アプリがないかを洗い出し、代替フローに移行計画を切ります。ROPCはMicrosoft自身も非推奨としており、実装継続の正当性は原則ありませんです。ROPC仕様(Microsoft)
- 条件付きアクセスのベースライン強化です。「すべてのクラウドアプリ」に対して、少なくとも以下のいずれかを満たすようにします。
- 準拠デバイス必須(Intune等によるデバイス主張がないと発行不可)です。
- フィッシング耐性の高い要素(FIDO2/Windows Hello等)の必須化です。
- 失敗イベントの“質的”モニタリングです。成功ログ依存をやめ、エラー応答の種類・評価結果の分布・IPの分散度・UAの多様性の変化を追う方針に切り替えます。ログ上のどの粒度で見られるかは環境差があるため、SIEM側のスキーマ確認を先に行います。
-
1〜2週間で実施
- パスワードレスの原則化方針を経営合意に持ち込みます。メールやVPNなど“入口”システムから先に、パスワードを許容しない強度(認証強度プロファイル)に切り替えます。
- 「アプリ登録」の点検です。
- 公開クライアント許可(Allow public client flows)を原則禁止にし、必要最小限に限定します。
- マルチテナント設定のアプリは、許可する発行先(リソース)と条件付きアクセスを明確に紐づけます。
- スロットリングと遮断の検討です。外形的に“不自然な分散試行”を示す送信元ASNや住宅系プロキシからの試行は、サードパーティIPレピュテーションを用いて早期にブロックします。Microsoft側エンドポイントでのレート制御はテナントで直接操作できないため、相関検知→広域遮断の運用で補います。
-
30〜60日で完遂
- ユーザー名設計とガバナンスの見直しです。外部に露出するUPN=メール前提を避け、少なくとも特権アカウントは公開されにくい命名規則に切り替えます。
- ハニーユーザー/ハニーアプリの導入です。正規に使われないUPNやアプリIDを監視対象に置き、列挙や検証の初動シグナルとして活用します(ログで捉えられる粒度は事前に検証が必要です)。
- 協力会社・委託先への波及対策です。外部ID・B2Bコラボレーションのアクセスポリシーを棚卸しし、外部主体にパスワードの一要素を許容しない方針へ誘導します。
-
継続運用での見るべき指標(例)
- ROPCを有効化したアプリ数と利用回数の推移です。
- 条件付きアクセスの“未適用セッション”比率(All cloud apps対象外の残余)です。
- パスワードレス比率(強力要素のみで完結するサインインの割合)です。
- エラー応答の分布のドリフト(特定コードの急増、分散クライアントIDでの低頻度試行の持続)です。
最後に、この手の手口は「誰が悪いか」を特定しても溶けません。プロトコルと実装の“許容範囲”は常に悪用可能性と背中合わせです。だからこそ、仕様の隙間に依存しないアーキテクチャ(パスワードレス+条件付きアクセス)と、サインイン以外の薄いシグナルを積分していく運用設計を、今のうちに常態化しておくことが肝要です。
参考情報
- OAuth client ID spoofing lets attackers validate Microsoft Entra credentials(The Hacker News): https://thehackernews.com/2026/07/oauth-client-id-spoofing-lets-attackers.html
- The OAuth 2.0 Authorization Framework(RFC 6749): https://datatracker.ietf.org/doc/html/rfc6749
- Microsoft identity platform and OAuth 2.0 Resource Owner Password Credentials: https://learn.microsoft.com/azure/active-directory/develop/v2-oauth-ropc
- MITRE ATT&CK technique navigator(各T番号の詳細はこちらから辿れます): https://attack.mitre.org/
背景情報
- i OAuthクライアントIDは、アプリケーションがユーザーデータにアクセスする際に要求されるグローバルに一意の識別子です。攻撃者は、偽装したクライアントIDを使用することで、登録されたOAuthアプリケーションなしにアカウントの列挙を行い、パスワードとアカウントの有効性を推測することができます。
- i 最近の攻撃キャンペーンでは、攻撃者がMicrosoft Entra IDのサインインログを利用し、エラー応答を分析することで、アカウントの存在やパスワードの正しさを確認しています。この手法は、特に従来の検出手法を回避するために進化しています。