「Teamsの設定」が落とし穴に? 正規ユーザーに見せかけた“わな”が横行Teams悪用の手口【前編】

コミュニケーションツールとして広く使われている「Microsoft Teams」。そのTeamsを巧みに使ったソーシャルエンジニアリングの手口が観測されているという。

2025年02月14日 07時15分 公開
[Arielle WaldmanTechTarget]

 セキュリティベンダーSophosは、MicrosoftのWeb会議ツール「Microsoft Teams」(以下、Teams)を悪用した攻撃について注意を呼び掛けている。攻撃者が技術サポート担当者になりすまし、マルウェア感染やデータ摂取を狙うソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)の手口が観測されているという。その手口とはどのようなものなのか。

「Teamsの設定」が落とし穴に

 Sophosは2025年1月に公開したレポートで、「STAC5143」「STAC5777」という2つの攻撃者グループの活動について解説した。レポートの公開時点において、過去3カ月で両グループによる攻撃を15件以上観測したという。Sophosによれば、両グループは攻撃の手口としてTeamsのチャットやWeb会議機能を使い、標的企業の従業員に対し、技術サポート担当者を装った攻撃を実施した。

 両グループの狙いは、標的企業のデータを盗んだり、標的企業にランサムウェア攻撃を仕掛けたりすることにあったとSophosは説明する。「どちらのグループも『Microsoft 365』(Microsoftのサブスクリプションサービス)の独自のテナント(アカウント専用の運用環境)を用意し、外部ドメインのユーザーが内部ユーザーとチャットや会議ができる設定を利用していた」(同社)という。

 Sophosによると、STAC5143とSTAC5777はいずれも標的企業の数人の従業員に狙いを定め、窮地に追い込むために大量のメールを送り付けた。その後、Teamsを悪用し、これらの従業員に電話やビデオ通話をかけ、技術サポート担当者になりすましてフィッシング攻撃を実施した。フィッシング攻撃の狙いは、マルウェアのインストールだったという。

 両グループはTeamsを悪用している点で共通しているが、その手口の詳細は異なる。

STAC5143

 STAC5143の攻撃では、標的の従業員が「Help Desk Manager」という名前の社外アカウントからTeams通話を受信したという。「標的企業はマネージドサービスプロバイダー(MSP)のサービスを利用していた。そのため、従業員は警戒せずに通話に応答した」(Sophos)。通話中に攻撃者は、Teamsでリモート画面操作を許可するよう促し、マルウェア感染用のファイルを受け渡してマルウェアをインストールさせたという。

STAC5777

 STAC5777の攻撃では、攻撃者は標的の従業員に大量のメールを送り付けた後、Teamsで社内IT担当者を装い、「スパム(迷惑メール)問題が発生している」というメッセージを送信。スパム問題を解決するためにTeamsで通話を求めたという。


 後編は、他の攻撃者グループによる類似の攻撃を見る。

TechTarget発 先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...