スマートフォンやパソコンを日常的に使うすべてのユーザーに向けた警告です。最近、企業だけでなく一般の家庭でも利用が増えているMicrosoft 365(旧Office 365)を狙った、これまでにない巧妙なフィッシング攻撃が確認されています。この攻撃は「OAuth疲れ」と呼ばれる人間の心理的な隙を突くもので、わずか5週間で世界340以上の組織が被害に遭ったと報告されています。被害に遭うと、自分のアカウントを乗っ取られ、メールやファイルを勝手に閲覧されたり、さらには知人や取引先に偽のメッセージが送られる二次被害に発展する恐れがあります。
危険性の本質は、攻撃者がユーザーに「アプリの許可」を承認させる点にあります。通常のフィッシングは偽のログインページでIDとパスワードを盗みますが、今回の手口はワンクリックで承認を得るため、多要素認証をすり抜ける可能性があります。具体的には、ユーザーがMicrosoft 365のログイン画面で正規の認証を通った後、攻撃者が用意した一見無害なアプリに対して「連携サービスへのアクセスを許可しますか?」というダイアログが表示されます。ここで「許可」をクリックすると、攻撃者はユーザーのメール、連絡先、クラウドストレージに永続的にアクセスできるようになります。一度許可すると、パスワードを変更してもアクセスが切れないため、被害は長期化します。
この手口を見分けるには、いくつかのポイントがあります。まず、アプリの許可を求める画面が突然表示された場合、発行元が信頼できる企業かどうかを確認しましょう。例えば「Microsoft Corporation」などの正規の開発者名ではなく、個人名や見慣れない会社名が記載されていないか注意します。次に、要求される権限が不必要に広範囲でないかチェックします。「メールの読み取りと送信」「すべてのファイルへのアクセス」「連絡先の完全管理」など、本来のサービスに不要な権限を求められたら疑ってください。特に、自分が意図していない操作の直後に許可画面が出た場合は、一度キャンセルして自分から公式サイトにアクセスし直す習慣が重要です。
防止策として、すぐにできることは、Microsoftアカウントの「アプリとサービスのアクセス権限」管理ページを定期的に確認することです。不要なアプリを削除することで、攻撃者の足がかりを断てます。また、家族で共有するパソコンやスマホでは、アプリのインストールや許可設定に管理者パスワードを要求する設定にしておくと、うっかり承認を防げます。さらに、どんなに正規の画面に見えても、メールやSMSに記載されたリンクからログインせず、必ずブックマークや公式アプリからアクセスする癖をつけましょう。
もし「許可」してしまった場合でも、慌てずにすぐにアクセス権限を取り消せば被害を最小限に抑えられます。Microsoftのアカウント管理ページ(account.microsoft.com/privileges)から、身に覚えのないアプリを選択し「アクセス許可を削除」します。その後、パスワードを変更し、サインインアクティビティに不審なログインがないか確認しましょう。特に、海外からのアクセス履歴や、普段使わない端末からのログインがあれば、速やかにサインアウト処理を行ってください。
この「OAuth疲れ」攻撃は、人間が「とにかく作業を進めたい」「警告に慣れてしまっている」心理を悪用します。どんなに忙しくても、許可ボタンを押す前に3秒間だけ立ち止まって「これは本当に必要な許可か?」と自問する習慣が、あなたのデジタル資産を守る最後の防御線です。今日からすぐに、ご自身のアカウント設定を見直し、不要なアプリ連携を解除することを強くお勧めします。
