OAuthのリダイレクト機能が悪用される新手のフィッシング攻撃 Microsoft・GoogleのログインURLを装う手口とは
近年、サイバー攻撃はより巧妙化し、ユーザーが気づきにくい仕組みを利用した攻撃が増えています。その中でも注目されているのが、OAuthの正常な機能を悪用した新しいフィッシング攻撃です。MicrosoftやGoogleの正規ログインページを経由して攻撃サイトへ誘導するこの手口は、従来のフィッシング対策をすり抜ける可能性があり、企業や個人ユーザーにとって大きな脅威となっています。
OAuthとは何か 多くのサービスで使われる認証の仕組み
OAuth(Open Authorization)は、ユーザーが自分のパスワードを第三者に共有することなく、別のサービスにデータアクセスを許可できる認証プロトコルです。たとえば、GoogleアカウントやFacebookアカウントを使って別のアプリにログインする仕組みは、このOAuthの技術によって実現されています。
通常のOAuthの流れでは、ユーザーがログイン認証を完了すると、認証サーバーはユーザーのブラウザをアプリケーション側にリダイレクトします。その際に認証コードやアクセストークンなどが付与され、アプリはユーザーのデータへアクセスできるようになります。
この仕組み自体は安全性を考慮して設計されていますが、今回問題となっているのは「エラー時のリダイレクト」という仕様を悪用する攻撃です。
OAuthのエラーリダイレクトを悪用した新しい攻撃
研究者によると、攻撃者はOAuthの「サイレント認証」と呼ばれる仕組みと、意図的に無効なパラメータを組み合わせて攻撃を実行します。
具体的には、OAuthの認証要求において本来有効であるべきスコープ(アクセス権限)をわざと無効に設定します。さらに「prompt=none」というパラメータを使い、ユーザーに追加の確認画面を表示せず認証を試みる形にします。
しかし、この認証は必ず失敗するように設計されています。その結果、OAuthサーバーはエラーを返し、仕様通り登録されたリダイレクト先へユーザーを転送します。
問題は、このリダイレクト先が攻撃者のサイトである点です。ユーザーはMicrosoftやGoogleのログインページを一瞬表示したあと、気づかないうちに攻撃サイトへ移動させられてしまいます。
攻撃の流れ ユーザー視点で見るとどう見えるのか
この攻撃は、ユーザーから見るとごく自然な操作の流れに見えるため、非常に危険です。典型的な攻撃シナリオは次のような形になります。
まず、ユーザーにビジネスメールを装ったメッセージが届きます。内容は「共有ドキュメントの確認」「社内レポートのレビュー」「会議招待」「パスワードリセット通知」など、日常業務でありそうなものです。
メールには「ドキュメントを表示」「レポートを確認」といったリンクが含まれているか、PDFファイルの中にリンクが埋め込まれています。
ユーザーがリンクにカーソルを合わせると、URLはMicrosoftやGoogleの正規ドメインに見えます。たとえば、MicrosoftのログインページのURLやGoogleアカウントのURLで始まっているため、多くの人は疑いません。
リンクをクリックすると、ブラウザは一瞬だけMicrosoftやGoogleのログインページを表示します。しかしその直後、OAuthのエラー処理によって別のページへリダイレクトされます。
ユーザーにとっては単にページが切り替わったように見えるだけで、URLのパラメータに含まれるエラー情報などに気づく人はほとんどいません。
最終的に誘導される危険なページ
最終的に表示されるページは、企業サイトやログインページを精巧にコピーした偽サイトであるケースが多いです。ここから攻撃者は主に2つの方法で被害を引き起こします。
1つ目は典型的なフィッシング攻撃です。ユーザーにログイン情報や個人情報を入力させ、それを盗み取ります。見た目が本物のサイトとほとんど変わらないため、ユーザーが騙される可能性は高くなります。
2つ目はマルウェアの配布です。偽のセキュリティ通知や文書ダウンロードを装い、ユーザーにファイルをダウンロードさせます。そのファイルを開くことで、マルウェアが端末に感染する仕組みです。
なぜこの攻撃が危険なのか
この攻撃の最大の特徴は、OAuth自体の認証情報を盗む必要がない点です。つまり、従来のOAuth関連攻撃とは異なり、トークンの窃取や認証の突破を目的としていません。
代わりに、正規サービスのURLを「踏み台」として利用することで、ユーザーの警戒心を下げることに成功しています。セキュリティ対策の多くは、不審なドメインや怪しいURLを検知することを前提にしていますが、この手口では最初に正規ドメインが表示されるため見抜きにくくなります。
特に企業環境では、Microsoft 365やGoogle WorkspaceのログインURLは日常的に利用されるため、ユーザーが疑うことはほとんどありません。
ユーザーが取るべき対策
このような攻撃から身を守るためには、いくつかの基本的なセキュリティ対策が重要になります。
まず、メールに含まれるリンクを安易にクリックしないことが大切です。特に緊急性を強調するメールや、突然届いた共有ドキュメント通知などは注意が必要です。
次に、ログインページへ移動した際には、URLが正しいだけでなく、ページの遷移が不自然でないか確認することも重要です。一瞬表示されたあと別のページへ飛ばされるような動きには警戒するべきでしょう。
また、企業環境ではメールセキュリティゲートウェイやフィッシング対策ツールの導入、従業員へのセキュリティ教育も重要になります。
まとめ 正規機能を悪用する攻撃は今後も増える
今回のOAuthリダイレクト悪用攻撃は、システムの脆弱性ではなく「正常な仕様」を利用している点が特徴です。そのため、単純なセキュリティ対策だけでは防ぎにくいという課題があります。
今後も攻撃者は、ユーザーが信頼しているサービスや仕組みを利用した攻撃を続ける可能性が高いでしょう。ユーザー側も、URLの見た目だけで安全だと判断せず、メールやリンクの内容を慎重に確認する習慣を持つことが重要です。
デジタル環境が便利になる一方で、こうした巧妙な攻撃も増えています。日常的なセキュリティ意識を高めることが、被害を防ぐ最も有効な対策と言えるでしょう。
