從 Microsoft 365 裝置碼釣魚攻擊，看企業資安治理盲點

近期接連出現濫用 Microsoft 365 OAuth 裝置碼授權流程的釣魚攻擊，駭客不必竊取密碼，也能誘使員工在官方登入頁面完成正確卻危險的操作，直接交出帳號控制權，甚至繞過多因子驗證。

這類攻擊清楚顯示，企業資安的漏洞已不在技術防護，而在人與流程的判斷盲點。當風險偽裝成日常工作的一部分，企業若未從管理與治理層面重新檢視資安策略，帳號接管與營運衝擊只會成為遲早發生的問題。

還在以為官方流程就等於安全」企業其實已經自曝風險

許多企業長期建立的資安認知，都是圍繞在辨識假網站，避免釣魚連結，這一套思維上。然而，裝置碼釣魚的危險之處，恰恰在於它並不要求員工進入假頁面，而是引導使用者完成一個來自官方、流程正確、畫面熟悉的登入與授權動作。從經營角度來看，這暴露的是企業對信任的定義過於單薄，只要流程來自知名品牌，就被視為風險可忽略。

真正的問題不在於員工是否細心，而在於企業是否曾清楚界定，哪些授權行為在任何情境下都不應該由個人自行判斷完成。當管理層未能將這些界線制度化，第一線員工就被迫在時間壓力下承擔本不屬於他們的風險決策，這本身就是一種治理失靈。

過度迷信MFA，卻忽略授權行為才是關鍵決策點

多因子驗證（MFA）的普及，讓不少企業產生一種錯覺，只要帳號登入有加一道關卡，風險就已經被大幅壓低。然而，真正造成重大損害的，往往不是登入那一刻，而是登入之後所完成的授權行為。

授權行為，本質上是一種把鑰匙交出去的決策，其風險層級理應與財務授權、對外簽約相當。但在多數企業內部，這類行為卻被默認為個人操作細節，缺乏清楚的規範與監督。結果是，一個帳號被接管後，攻擊者往往能長時間存取郵件、檔案與內部資訊，而企業直到出現實質損失才驚覺問題嚴重。這並非技術不足，而是治理設計失衡。

真正放大損失的，往往是事後的混亂與責任不清

當帳號接管事件發生時，企業最常見的狀況不是技術無法處理，而是不知道現在誰該做決定。是否立即停權？是否需要通知客戶？是否可能影響營運系統？這些問題若沒有事前的決策框架，只會在事件發生後不斷拉長反應時間。

資安事件的商業衝擊，多半不是發生在被入侵的瞬間，而是累積在應變遲緩、對外溝通失序的過程中。這也再次說明，資安不是臨場救火，而是治理能力的體現。沒有清楚的責任分工與決策路徑，再先進的防護工具，都無法替企業承擔管理責任。

把資安當成一次性專案，而非持續性的經營能力

另一個常被忽略、卻在裝置碼釣魚事件中被放大的盲點，是企業仍習慣把資安視為，導入完成就結案的專案型工作。許多組織在導入雲端服務、身分驗證或資安工具後，便認為風險已被妥善處理，後續只剩例行維運。然而，攻擊手法的演進速度，往往遠快於企業制度更新的節奏，當治理邏輯停留在幾年前的威脅模型，新的攻擊就會自然找到制度縫隙。

資安其實是一種「態能力」需要隨著組織規模、工作模式與外部威脅不斷調整。這不意味著企業必須頻繁更換技術，而是要建立一種定期檢視假設的機制，哪些流程現在仍合理？哪些授權在今天的威脅環境下已經不再安全？哪些行為過去被視為低風險，但現在必須重新分類？當企業缺乏這樣的反思循環，資安策略就會逐漸與現實脫節。裝置碼釣魚的擴散，正是一個典型警訊，它提醒企業，真正危險的，不是技術老舊，而是管理思維停止更新。

從Microsoft 365裝置碼釣魚的擴散趨勢可以看出，企業面對的已不是如何擋下所有攻擊，而是如何在不可避免的風險下，把傷害控制在可承受範圍。這需要的不是更多複雜工具，而是更清楚的治理思維。

當企業能夠界定授權邊界、降低單一帳號的影響半徑，並讓資安成為經營層必須面對的管理議題，而非單純的IT成本，資安才真正成為支撐企業成長的基礎，而不是下一次危機的引爆點。