Kali365は、Phishing-as-a-Service Kitです。
この脅威活動は2026年4月くらいから観測されはじめたもので、活動が広がってきていることが確認されています。
そういった背景があり、先日FBIからも警告が出されている状態になっています。
内容を見てみましょう。
- Kali365はPhishing-as-a-Service Kit
Kali365は、Phishing-as-a-Service Kitです。
そのサービスを契約するだけで簡単にフィッシングが開始できるものとなっています。
Telegramチャンネルを通じて展開されています。 - Microsoft365の仕組みを悪用
Kali365は、Microsoft365の仕組みを悪用します。
OAuthデバイスコード認証を悪用してセッショントークンを盗み、多要素認証(MFA)を回避することでMicrosoft365アカウントを乗っ取るために使用します。
フィッシングの手法は、デバイスコードフィッシングです。
これは、スマートテレビや会議用端末などの「ブラウザを持たないデバイス」向けに設計された正規の認証プロセス(デバイスコードフロー)を悪用し、ユーザー自身の手でアクセス許可を出させる新しいフィッシング攻撃です。
デバイスコードフィッシングは次のように進められます。- コードの生成
攻撃者が標的のサービス(Microsoft 365など)でサインインを試み、認証用の「デバイスコード」を入手します。 - 騙して入力させる
攻撃者はもっともらしい理由(例:「アカウントがロックされました」「セキュリティ設定の更新が必要です」など)を添えて、ユーザーにそのコードを入力させようと誘導します。 - アクセス承認
ユーザーが指示通りに自身のスマートフォンやPCから正規のログイン画面を開き、攻撃者のコードを入力してしまいます。 - アカウントの乗っ取り
認証が完了し、攻撃者はユーザーのアカウントへのアクセス権(トークン)を取得します。
- コードの生成
- 多要素認証(MFA)が有効でない
ユーザ自身が正規のサイトで認証を完了させる流れとなるため、通常の2段階認証や多要素認証(MFA)がシステムの安全性という意味で効果を発揮できません。 - 正規のURLの悪用
誘導先のURL自体は正規のサービス(例: microsoft.com など)であるため、偽サイトの判定が難しい状態で侵害が実施されます。
攻撃者は、ユーザがシングルサインオンアカウントを通じて通常アクセスできるすべてのアプリケーション(Microsoft 365、Salesforce、その他のクラウドSaaSプラットフォームなど)に完全にアクセスできるようになります。
そして、それらを利用してデータを盗み出します。
便利のための仕組みが危険な活動の前提となってしまっています。
便利と危険は表裏一体です。
身の回りの便利な仕組みは同じように危険性の元となる可能性があると認識し、安全な運用を維持していきましょう。
Alert Number: I-052126-PSA | 21 May 2026 Kali365 Phishing-as-a-Service Kit Hijacks Microsoft 365 Access Tokens
https://www.ic3.gov/PSA/2026/PSA260521
| この記事をシェア |
|
|---|
