こんにちは。
本コラムでは、取引先を装ったフィッシング メールを起点にアカウント侵害が発生し、Entra ID に不正にデバイスが登録されるに至ったインシデントについてご紹介します。

この事例の特徴は、「デバイスコード認証」が悪用された点です。パスワードを窃取することなくアクセス権が得られる上、通常のユーザー操作に見えるため、サインインイベント単体では検知が難しい厄介な攻撃です。さらに本件では、盗まれたセッションを用いて新たなデバイス登録が実施されるという珍しい挙動が確認されました。これは継続的なアクセス確保（永続化）を意図した操作であり、非常に巧妙な手口です。注意喚起のため、インシデントの概要をご紹介します。

■ 3つのポイント

今回の事例のポイントは、主に以下の 3 つです。

① 不審なサインイン検知の確認

Entra ID のサインイン ログを確認したところ、対象 IP（2600:XXX:XXX:）は ISP が Amazon.com、ロケーションが米国となっており、当該ユーザーの通常利用と異なるサインイン試行が確認されました。
また、対話型サインインでは確認されなかったものの、非対話型サインインにおいて当該ユーザーでは通常見られない User-Agent（axios/XXX）が確認されました。

② フィッシングの可能性を踏まえたクリックイベントの確認

不審なサインインに先立ち、フィッシングの可能性を考慮し、クリックイベントを確認しました。
その結果、デバイスコード認証によるサインイン試行の約 2 分前に、当該ユーザーが Microsoft Defender により「悪意のある URL」と判定されているリンクをクリックしていることが確認されました。
この時系列から、フィッシングメールを起点として、ユーザーがメール内の案内に従いコード入力を行い、認証が成立した可能性が高いと判断されます。

③ デバイス登録および不審操作の確認

該当時間帯において、見慣れない User-Agent（axios/XXX）を用いたデバイス登録（DESKTOP-XXX）が確認されました。
この挙動は、通常とは異なる UA による操作であることから、ユーザー自身の操作とは考えにくく、第三者による実施が疑われました。 フィッシング後にデバイス登録まで進む点は、一般的なメール詐取型のフィッシングと比べて特徴的です。これは、攻撃者が長期的なアクセス維持を狙っている可能性を示す重要な兆候です。
この特徴は、Microsoft Security Blog の 2026-04-06 の記事（Inside an AI-enabled device code phishing campaign）で示された「侵害後にデバイス登録へ進展するケース」とも合致しています。

上記の通り、時系列で一貫した不審な挙動が確認されたことから、本事象はアカウント侵害であると判断し、速やかにお客様へ通知を実施しました。

■ 何がおこったか

Microsoft の脅威インテリジェンスを起点に、不審なサインインが検知されました。調査の結果、当該ユーザーにおいてデバイスコードフローによるサインイン試行が確認されており、その直前には悪意のある URL へのアクセス履歴が確認されています。

このことから、フィッシングメールによる誘導によりユーザーが認証操作を実施し、その結果として正規の認証が成立し、攻撃者側クライアントに認証済みトークンが発行されたと考えられます。

その後、通常とは異なる IP および User-Agent を用いたアクセスが発生し、さらに同時間帯にデバイス登録が実施されました。加えて、不審なサインイン後にはメールルールの大量作成（特定送信者の振り分け）が確認されており、これは情報収集や痕跡隠蔽を意図した操作である可能性があります。
これら一連の挙動から、本事象はデバイスコード認証の悪用により攻撃者側へトークンが発行され、その後の永続化が試みられたインシデントであると判断されました。

通知後、お客様にて速やかにパスワード変更を実施いただきました。加えて、トークン悪用の可能性を考慮し、既存セッション（トークン）の失効と、攻撃者により登録された不審なデバイスの削除をご対応いただきました。

以上より、フィッシングメールを起点にデバイスコード認証が悪用され、攻撃者側クライアントに認証済みトークンが発行された事象であったと判断しました。一方で、早期の無効化対応とデバイス削除により、追加操作や長期的な侵害の継続は防止され、重大インシデントへの発展を未然に防ぐことができました。

■ NRAS でできること

本事例のような認証悪用型の攻撃は、以下の理由から検知が難しい特徴があります。

• 正規の認証フローを利用している
• パスワード漏えいを伴わない
• ログ上は通常のサインインに見える

NRAS では、本事象において以下の点に着目し、不審な挙動を早期に把握しています。

• フィッシングとみられる URL クリックと認証イベントの時系列の一致
• デバイスコードフローによる通常とは異なる認証手段
• 海外 IP および見慣れない User-Agent によるアクセス
• 認証直後の Device Registration Service 操作という、通常のフィッシングでは比較的まれな挙動
• 認証後に発生したデバイス登録やメールルール変更

これらを個別ではなく一連の流れとして分析することで、見逃されやすい不正アクセスも高い精度で特定しています。

また、「ユーザー自身が正規操作として認証を完了してしまうケース」においても、利用傾向との差異に着目することで早期に異常を検知し、お客様への迅速な通知と対応につなげることが可能です。

このように、正規の仕組みを悪用する攻撃は、ユーザー・ログ双方の観点から気付きにくいものです。NRAS では、サインインログや操作の相関分析に加え、アナリストによる精査を組み合わせることで、こうした兆候を的確に捉え、迅速な対応につなげます。

セキュリティ監視体制の強化をご検討の際は、ぜひ NRAS の導入をご検討ください。

【サービス詳細】
NR Automate Security（ NRAS）
https://nextread.co.jp/service-nras/

【関連記事】
「すごいぞ NRAS！対応事例のご紹介」シリーズ

・メールを起点とした Infostealer を EDR で検知・隔離した事例
https://nextread.co.jp/column-casestudy/nr-automate-security02/

・ユーザーが認識していない VPN ソフトが端末に存在していた際の対応事例
https://nextread.co.jp/column-casestudy/nr-automate-security06/