**Kali365**：Microsoft 365への増大する脅威 **FBI PSA**によると、**Kali365**は2026年4月に登場し、パスワードを直接盗んだりMFAコードを傍受したりすることなく、**Microsoft 365**アカウントを侵害する簡単な方法を求めるサイバー犯罪者をターゲットに、**Telegram**チャンネルを通じて配布されています。これは、フィッシングツールの洗練度とアクセシビリティの向上を浮き彫りにしています。 デバイスコードフィッシング：正規のプロトコルの悪用 このプラットフォームは、デバイスコードフィッシングを悪用しています。これは、**Microsoft**の正規のOAuth 2.0デバイス認証グラントフローを悪用する手法です。このフローは、スマートTVやIoTデバイスなど、入力機能が限られているデバイスを対象としており、別のデバイスで`http://microsoft.com/devicelogin`に短いコードを入力して認証できるようにします。  *デバイスコード認証フォーム。出典：BleepingComputer* **BleepingComputer**が2月に報じたように、**ShinyHunters**グループを含む攻撃者は、デバイスコードとボイスフィッシングを使用して**Microsoft Entra**アカウントを標的にしてきました。攻撃者はデバイス認証プロセスを開始し、コードを生成し、被害者をソーシャルエンジニアリングを通じて**Microsoft**のログインページに入力するようにだまします。被害者がコードを入力し、MFAを完了すると、**Microsoft**はOAuthアクセストークンを発行し、攻撃者はさらなるMFAチャレンジなしに完全なアカウントアクセス権を取得します。 Kali365の高度な機能 **FBI**は、**Kali365**が初心者攻撃者にも、AI生成フィッシングルアー、自動化されたキャンペーンテンプレート、リアルタイムの被害者追跡ダッシュボード、トークンキャプチャ機能などの高度なフィッシング機能を提供していると強調しています。これにより、高度なフィッシング攻撃への参入障壁が低くなります。 **Arctic Wolf**の研究者は4月に**Kali365**の活動について報告し、世界中の組織を標的とした広範なキャンペーンを観測しました。これらのキャンペーンは主に**Microsoft 365**環境を標的とし、被害者を**Microsoft**のデバイスコードログインポータルに誘導しました。 攻撃者はメールボックスにアクセスし、悪意のある受信トレイルールを作成して活動を隠蔽しました。一部の攻撃では、被害者の**Microsoft**環境内に新しいデバイスを登録し、アクセスをさらに拡大しました。 ビジネスモデルと攻撃モード **Arctic Wolf**は、**Kali365**が管理者、再販業者、アフィリエイトを持つ構造化されたビジネスとして運営されていることを発見しました。このプラットフォームは、デバイスコードフィッシングと、アドバーサリー・イン・ザ・ミドル（AitM）モードである「Cookie Link」の2つの攻撃モードを提供しています。Cookie Linkは、被害者を攻撃者が制御するインフラストラクチャにプロキシし、ターゲットがログインしてMFAチャレンジを解決した後に、認証されたブラウザセッション、セッションCookie、およびトークンをキャプチャします。 緩和戦略 **FBI**は、組織に対し、条件付きアクセスポリシーを使用して可能な限りデバイスコード認証フローを制限またはブロックし、既存のデバイスコードの使用状況を監査し、認証転送ポリシーをブロックすることを推奨しています。影響を受けた組織は、Internet Crime Complaint Centerにインシデントを報告し、関連データを保持する必要があります。 フィッシングの増加傾向 デバイスコードフィッシングは2026年に勢いを増しており、**EvilTokens PhaaS**や**Tycoon2FA**のようなプラットフォームも、**Microsoft 365**および**Entra**アカウントの侵害にこれを利用しています。これは、正規の認証メカニズムを悪意のある目的で悪用する方向への広範なシフトを示しています。