新しい Microsoft ログイン詐欺の警告:自分自身を保護 – パスワードは関係ありません

2026 年 2 月 28 日午後 2 時 30 分東部標準時公開

Gavin は、Technology Explained、セキュリティ、インターネット、ストリーミング、エンターテインメント分野のセグメント リーダーであり、Really Useful Podcast の元共同司会者であり、頻繁に製品レビューを行っています。彼はデボンの丘で略奪された現代文章の学位を取得しており、10 年以上の専門的な執筆経験があり、彼の作品は特に How-To Geek、Expert Reviews、Trusted Reviews、Online Tech Tips、Help Desk Geek などに掲載されています。ギャビンは CES、IFA、MWC、その他の技術見本市に出席して会場から直接レポートし、そのプロセスで何十万ものステップを積み上げてきました。彼は、覚えている以上に多くのヘッドフォン、イヤフォン、メカニカル キーボードをレビューしており、大量のお茶、ボード ゲーム、サッカーを楽しんでいます。

ほとんどのオンライン詐欺は依然として、パスワードを盗むという 1 つの目的を中心に展開しています。私たちは、偽のログイン ページ、不審なリンク、アカウント認証情報の「確認」を求める緊急メールを監視するように訓練されています。

しかし、Microsoft アカウント攻撃の新たな波は、やり方が異なります。被害者は Microsoft の実際の Web サイトにログインし、実際のセキュリティ チェックを使用し、多要素認証を正常に完了しても、攻撃者は依然としてアクセスを取得します。

この手法はデバイス コード フィッシングとして知られています。 、パスワードはまったく盗まれません。代わりに、Microsoft 独自の認証システムを設計どおりに使用して、ユーザーをだまして自分自身にアクセスを許可させます。

デバイスコードログインは本当に便利です

おそらくこれまでに何度も使用したことがあるでしょう

Microsoft は、他の大手テクノロジー企業と同様にデバイス認証フローと呼ばれるものをサポートしています。 、一般的にはデバイス コード ログインとしても知られています。しかし、それよりもさらに一般的なのは、完全なログイン ページではなく、ログイン プロセスを完了するために一致するか入力する必要があるデバイス間で一致するログイン コードが表示される瞬間です。

これは、特に使用が制限されたデバイスに接続しているときに完全なログイン ページやインスタンスを簡単に表示できないデバイスでは非常に便利です。たとえば、スマート テレビで、またはホテルの部屋のテレビに接続しているときに、このような状況に遭遇したことがあるかもしれません。どちらも代表的な例です。

ほとんどの場合、このプロセスは完全に安全であり、危険なものは何もありません。しかし、特定のエクスプロイトによってすべてが変わります。

関連

この人気のあるセキュリティ手法では実際にハッカーを阻止できない

どこでも使用されていますが、常に機能するとは限りません。

合法的な機能があなたに対して使用される可能性があります

これは一般的な前提を悪用します

デバイスコードログインは非常に便利です。ただし、デバイスのログイン プロセスでは、コードを入力した人がリクエストを開始したと当然想定されるため、悪用される可能性があります。これは、プロセスが部分的に破綻する部分です。

攻撃者があなたの電子メール アドレスやその他の既知の連絡先データを知っている場合、自分のデバイスからデバイス ログイン リクエストを開始し、独自のセッションを開始する可能性があります。次に、Microsoft (およびその他のテクノロジー企業) は、そのセッションに関連付けられた正規のデバイス コードを生成します。

ここが難しいところです。攻撃者は、自分でコードを使用しようとする代わりに、別のプロセスを装ってコードを直接ユーザーに送信することができます。その多くは、よく知られたフィッシング戦術を考慮しています。

• 不審なアクティビティを主張するセキュリティ アラート
• Microsoft 365 の緊急通知
• Teams からのメッセージまたは IT サポート メッセージ
• ビジネスまたはその他のメール リクエスト

このリクエストでは、Microsoft の公式ログイン ページにアクセスし、提供されたコードを入力してアカウントを「保護」または「確認」するよう指示されます。ここでエクスプロイトの次の段階が始まります。訪問しているのは偽のログイン ページや巧妙に設計されたフィッシング ポータルではありません。これは実際の Microsoft ログイン ページであり、認証チェックは本物です。

通常どおりデバイス コード ログインを入力し、リクエストを承認すると、アカウントが保護されたように感じます。しかし実際には、攻撃者を認証し、その過程でアカウントにキーを渡していることになります。

プロセス全体を通じて、パスワードが公開されることはありませんが、アカウントは直接引き渡されます。

デバイス コード ログイン詐欺がうまく機能する理由

すべては模倣です

クレジット:Microsoft

デバイス コード ログイン詐欺の最大の問題は、従来のフィッシング詐欺戦術のほとんどを回避できることです。フィッシングには通常、複製されたログイン ページ、類似したログイン ページ、または認証情報を傍受するシステムが関与します。

一方、デバイス コード ログイン フィッシング詐欺は、これらすべてを無視して、すべてを公然と合法的に見せます。まあ、それを「ボードの上」に見せているわけではありませんが、Microsoft 認証プロセスと対話しているため、実際にはそうなっています。すべてのプロセスが正しく機能するため、詐欺全体が機能します。それはあなたにとってわずかに逆転しただけです。

では、攻撃者はアクセス トークンを使って何を取得できるのでしょうか?

攻撃者を認証することは明らかに悪い状況です

認証が完了すると、Microsoft はアクセス トークンと呼ばれるものを発行します。これは、ログインがすでに検証されていることを一時的に証明するように機能します。機能的には、システムは所有者がすでに身元を証明していると想定しているため、資格情報を繰り返し要求することなくアクセスが許可されます。

したがって、攻撃者が何を手に入れることができるかという答えは、実際には、ターゲットとなるアカウントによって異なります。たとえば、Outlook アカウントがターゲットにされた場合、攻撃者はあなたのメールにアクセスし、さらにそのアドレスに関連付けられた他のサービスにもアクセスできるようになります (パスワードのリセット、2FA コードへのアクセスなど)。

しかし、Teams ログインが標的にされた場合、攻撃者が会社の Teams アカウント内に侵入し、そこに保持されているデータにアクセスできる可能性があります。

関連

では、デバイス コードのフィッシングからどのように保護すればよいでしょうか?

絶え間ない絶え間ない警戒

結局のところ、コード デバイス ログイン攻撃に対する最善の防御策は、デバイス ログインが実際にどのように機能するかを実際に理解しようとすることです。デバイスのログイン プロセスを基本レベルで理解していても、このフィッシング攻撃から身を守ることができます。

つまり、デバイスのログイン コードは、自分で別のデバイスでログインを開始した場合にのみ表示される必要があります。 Microsoft は、パスワードや 2FA コードの確認などを求めるメッセージを決して送信しないのと同様に、アカウントを保護するためのコードをランダムに送信することはありません。

これは Microsoft だけの話ではありません。技術者であろうとなかろうと、いかなる企業もあなたにこの情報を尋ねるべきではありません。これは非公開であり、あなただけのものです。

ほとんどの場合、フィッシング詐欺を発見するための一般的なセキュリティ ルールに従うことができます。

• 電子メール、チャット、またはテキスト メッセージを通じて送信されたログイン コードを決して入力しないでください。
• 予期しない認証リクエストは、パスワード リクエストと同じように扱います。
• 自分がトリガーしていない MFA プロンプトを受け取った場合は、すぐに拒否します。
• 不慣れなアプリケーションやセッションがないか Microsoft のサインイン アクティビティを定期的に確認します。

認証コードは許可であり、検証手順ではないことに注意してください。あなたがプロセスを開始しなかったとしても、他の誰かがプロセスを開始しました。