microsoft.com/deviceloginで攻撃者から与えられたコードを入力させ、攻撃者のクライアントを承認させる)の両方を実行する ForgCookieという名の補助ブラウザ拡張機能は、Chrome、Edge、Braveに対応している 。被害者のセッショントークンまたはCookieが収穫されると、ForgCookieは自動的に盗んだセッションCookieを更新する。これにより攻撃者は、被害者がパスワードを変更した後でも、再認証不要でMicrosoft 365サービス(Outlook、Teams、OneDrive、SharePoint)へのアクセスを維持できる
。これにより、一度きりのトークン取得が、長期間にわたる持続的な乗っ取りへと変貌する。
2026年7月14日にReliaQuestとBleepingComputerによって公開されたJaliscoは、Microsoft 365アカウントを標的としたデバイスコードフィッシングキットである 。その仕組みは以下の通り。
つまり、MFAは「破られた」のではなく、「武器化」されたのである。
複数の情報源が、より広範な業界トレンドを確認している。
これらの脅威に共通する重要な洞察は、MFAは技術的に「破られた」わけではないということだ。むしろ、「協力させられている」 のだ。
| 手法 | 何が起こるか | なぜMFAが止められないか |
|---|---|---|
| デバイスコードフィッシング | 被害者がMicrosoftの正規ログインページで攻撃者のコードを入力し、自身のMFAを完了する | トークンは攻撃者のアプリに渡される。MFAは正しいユーザーを承認したが、それは間違ったクライアントに対するものだった。 |
| AiTMプロキシ | 被害者が攻撃者のプロキシ経由でログインし、MFAは正常に完了する | 攻撃者はリアルタイムでセッションCookieを取得し、セッションを乗っ取る。 |
| 認証情報+OTP収穫 | 偽のログインフォームがパスワードとOTPを同時に取得する | OTPは攻撃者によって期限切れになる前に即座に使用される。 |
複数の勧告に基づき、以下の対策が強く推奨される。
devicecode認証をブロックする。offline_access、Mail.Read、Files.ReadWrite.Allなどの権限を要求するアプリに注意。2026年に発生したMicrosoft 365を標的とするフィッシングの波は、Forg365(ForgCookie永続化拡張機能を伴う)、Jalisco、OmegaLord、そしてより広範なデバイスコードおよびAiTMキットのエコシステムによって主導され、パラダイムシフトを表している。攻撃者はもはやパスワードを盗んだりMFAを破ったりする必要はない。代わりに、OAuthの信頼モデルを悪用して、被害者自身の認証を攻撃者管理下のセッションの承認に利用する。セキュリティコミュニティのコンセンサスによる推奨事項は、ゼロトラストの姿勢である。すなわち、未使用の認証フローを無効にし、条件付きアクセスを適用し、トークン許可を監視し、フィッシング耐性のあるMFAへ移行することである 。