Microsoftが警告：AIを悪用した「デバイスコード・フィッシング」が多要素認証を突破

AIと自動化を組み合わせた新たな攻撃手法が、多要素認証（MFA）という強固な防御線を突破する脅威として浮上した。Microsoftが詳細を公開したこの「デバイスコード・フィッシング」攻撃は、動的コード生成やAIを駆使して従来の検知システムを巧妙に回避する。認証プロセスそのものが標的となり、セキュリティ基盤の根本的な脆弱性が突かれている。

この攻撃は、OAuth 2.0のデバイスコード認証フローを悪用する。攻撃者はまず、AIを活用して本物のサービスを装ったフィッシングページを動的に生成し、ユーザーを誘導する。ユーザーがそのページで認証を求められるコードを入力すると、攻撃者はそのコードを利用して正規の認証サーバーからアクセストークンを取得する。AIはこの一連のプロセスにおいて、異常なリクエストパターンを学習・模倣することでセキュリティ検知をかいくぐり、攻撃の成功率と隠密性を高めている。

Microsoftは、この手口が「認証基盤の防御強化が急務」であることを示す深刻なシグナルだと警告する。クラウドサービスや企業システムの認証インフラ全体がリスクに晒されており、従来のMFA依存のセキュリティモデルでは不十分な可能性がある。防御側は、行動分析やAIを活用した異常検知の高度化、認証フローの継続的監視、そしてユーザー教育の徹底など、多層的な対策の構築を迫られることになる。