JA-C024-053-auth-monitoring-device-code-phishing-fuse

日本語

---

[JA-C024-053] Auth Monitoring: Device Code Phishing Fuse

概要

OAuth Device Code Flow を悪用したフィッシング（ユーザーに確認コードを入力させる攻撃）を、認証イベント相関で早期検知・遮断する運用パターンです。英語圏の GitHub/Reddit で増えている「合法フロー悪用」対策を、OpenClawで自動化します。

ユースケース

• 短時間に複数リージョンから同一ユーザーの device code 承認が発生。
• 承認端末のデバイス姿勢（OS/UA/ASN）が通常プロファイルから逸脱。
• 承認直後に API トークン利用量が急増。

OpenClawでの実現手順

1. config有効化
   • cron と sessions_spawn を有効化し、1〜5分間隔の監視ジョブを作成。
   • message を通知先チャネル（SOC/運用）に接続。
2. API取得
   • IdP（例: OIDCプロバイダー）の監査ログAPIキーを発行。
   • 逆プロキシ/ゼロトラスト基盤のイベントAPIトークンを取得。
3. 運用設定
   • cron で「承認イベント」「トークン使用イベント」を収集。
   • sessions_spawn で「検知エージェント」「検証サブエージェント」を分離実行。
   • リスク高判定時は sessions_send でユーザー確認フローと一時トークン凍結を起動。

参考トレンド（英語圏 / 中国語圏）

• 英語圏: GitHub issue と Reddit SecurityOps で Device Code 悪用の検出ルール共有が活発。
• 中国語圏: V2EX の企業内ゼロトラスト運用で、承認ログ相関への関心が上昇。

活用例リンク

• X: 準備中
• note: 準備中
• GitHub: https://github.com/topics/oidc
• Moltbook: 準備中

---

Registry ID: JA-053 | Status: Draft-Verified | Language: Japanese