MSRC(Microsoft Security Response Center)のブログより。
Microsoft の調査によると 2022年12月15日に、検証済みの発行元プロセスを悪用し OAuth アプリの同意を利用したフィッシングキャンペーンがあったと明らかにされました。
Microsoft Investigation - Threat actor consent phishing campaign abusing the verified publisher process | MSRC Blog | Microsoft Security Response Center
この脅威アクターは正当な企業になりすまして Microsoft Cloud Partner Program(MCPP、旧 MPN)に登録し、不正なパートナーアカウントを得ました。
そして、Azure AD で作成した OAuth アプリにその確認された発行元を追加することにより、ユーザーをだましてこの不正なアプリに同意させて権限を付与させ、電子メール等の情報を盗み出しました。
本件は主に英国とアイルランドに拠点を置く企業が標的とされ、Microsoft によりすでにこのアプリは無効化された上、影響を受ける顧客には通知されているそうです。
(参考)
発行者の確認の概要 - Microsoft Entra | Microsoft Learn
