アカウントを乗っ取るために **OAuth 2.0** デバイス認証グラントフローを悪用するデバイスコードフィッシング攻撃が、今年37倍以上に急増しています。 この種のアタックでは、攻撃者はサービスプロバイダーにデバイス認証リクエストを送信し、コードを受け取ります。このコードは様々な口実のもと、被害者に送信されます。 次に、被害者は正規のログインページにコードを入力するように誘導され、これにより攻撃者のデバイスが有効なアクセスおよびリフレッシュトークンを通じてアカウントにアクセスできるようになります。 このフローは、入力オプションが利用できないデバイス（IoTデバイス、プリンター、ストリーミングデバイス、スマートテレビなど）の接続を簡素化するために設計されました。  *デバイスコードフィッシングフロー。出典：**Push Security*** デバイスコードフィッシングの手法は2020年に初めて文書化されましたが、悪意のある悪用が数年後に記録され、国家支援型ハッカーと金銭目的の攻撃者の両方によって使用されてきました。 **Push Security** の研究者は、これらの攻撃の使用が大幅に増加していることを確認し、サイバー犯罪者によって広く採用されていると警告しています。 「3月初旬（2026年）、当社の研究チームが今年検出したデバイスコードフィッシングページの数は15倍に増加し、複数のキットとキャンペーンが追跡されています。現在、最も著名なキットは **EvilTokens** です。この数値は現在37.5倍に増加しています。」 - Push Security 今週初め、脅威検知・対応企業 **Sekoia** は、フィッシング・アズ・ア・サービス（PhaaS）である **EvilTokens** オペレーションに関する調査を発表しました。研究者らは、これがデバイスコードフィッシングを「民主化」し、スキルの低いサイバー犯罪者でも利用できるようにするフィッシングキットの著名な例であると強調しています。 Pushも、EvilTokensがこの手法の主流採用の主要な推進力であることに同意していますが、同じ市場で競合する他のいくつかのプラットフォームが存在し、法執行機関がEvilTokensを妨害した場合に、それらがより著名になる可能性があると指摘しています。 1. **VENOM** - デバイスコードフィッシングとAiTM機能の両方を提供するクローズドソースのPhaaSキット。そのデバイスコードコンポーネントはEvilTokensのクローンであるようです。 2. **SHAREFILE** - **Citrix ShareFile** のドキュメント転送をテーマにしたキットで、ノードベースのバックエンドエンドポイントを使用してファイル共有をシミュレートし、デバイスコードフローをトリガーします。 3. **CLURE** - 回転するAPIエンドポイントとアンチボットゲートを使用するキットで、**SharePoint** をテーマにしたルアーと **DigitalOcean** 上のバックエンドインフラストラクチャを備えています。 4. **LINKID** - **Cloudflare** チャレンジページとセルフホストAPIを活用するキットで、**Microsoft Teams** と **Adobe** をテーマにしたルアーを使用します。 5. **AUTHOV** - ポップアップベースのデバイスコード入力と **Adobe** ドキュメント共有ルアーを使用する、workers.devでホストされたキット。 6. **DOCUPOLL** - **DocuSign** のワークフローを模倣したキットで、実際のページのインジェクションされたレプリカを含み、**GitHub Pages** と workers.devでホストされています。 7. **FLOW_TOKEN** - HRと **DocuSign** をテーマにしたルアーとポップアップベースのフローを備え、**Tencent Cloud** のバックエンドインフラストラクチャを使用する、workers.devでホストされたキット。 8. **PAPRIKA** - **AWS S3** でホストされたキットで、**Microsoft** ログインクローンページと **Office 365** のブランディング、および偽の **Okta** フッターを使用します。 9. **DCSTATUS** - 一般的な **Microsoft 365** の「セキュアアクセス」ルアーと限定的な可視インフラストラクチャマーカーを備えたミニマルキット。 10. **DOLCE** - **Microsoft PowerApps** でホストされたキットで、**Dolce & Gabbana** をテーマにしたルアーを備えています。これは広く使用されているものではなく、ワンオフまたはレッドチームスタイルの実装である可能性が高いです。 VenomとEvilTokens以外のキット名は、Pushの研究者が悪意のあるアクティビティを追跡するために付けたものであることに注意してください。 Push Securityは、DOCUPOLLキットの動作を示すビデオも公開しました。攻撃者はDocuSignのブランディングと契約の主張を示すルアーを使用し、被害者にMicrosoft Officeアプリケーションへのサインインを求めています。 合計で、少なくとも11のフィッシングキットがサイバー犯罪者にこの種のアタックを提供しており、すべてがリアルなSaaSテーマのルアー、アンチボット保護を使用し、ホスティングのためにクラウドプラットフォームを悪用しています。 デバイスコードフィッシング攻撃をブロックするために、Push Securityは、アカウントに条件付きアクセスポリシーを設定することで、必要ない場合はフローを無効にすることをユーザーに推奨しています。 また、予期しないデバイスコード認証イベント、異常なIPアドレス、セッションのログを監視することも推奨されます。