コミュニケーションツールとして広く使われている「Microsoft Teams」。そのTeamsを巧みに使ったソーシャルエンジニアリングの手口が観測されているという。
セキュリティベンダーSophosは、MicrosoftのWeb会議ツール「Microsoft Teams」(以下、Teams)を悪用した攻撃について注意を呼び掛けている。攻撃者が技術サポート担当者になりすまし、マルウェア感染やデータ摂取を狙うソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)の手口が観測されているという。その手口とはどのようなものなのか。
Sophosは2025年1月に公開したレポートで、「STAC5143」「STAC5777」という2つの攻撃者グループの活動について解説した。レポートの公開時点において、過去3カ月で両グループによる攻撃を15件以上観測したという。Sophosによれば、両グループは攻撃の手口としてTeamsのチャットやWeb会議機能を使い、標的企業の従業員に対し、技術サポート担当者を装った攻撃を実施した。
両グループの狙いは、標的企業のデータを盗んだり、標的企業にランサムウェア攻撃を仕掛けたりすることにあったとSophosは説明する。「どちらのグループも『Microsoft 365』(Microsoftのサブスクリプションサービス)の独自のテナント(アカウント専用の運用環境)を用意し、外部ドメインのユーザーが内部ユーザーとチャットや会議ができる設定を利用していた」(同社)という。
Sophosによると、STAC5143とSTAC5777はいずれも標的企業の数人の従業員に狙いを定め、窮地に追い込むために大量のメールを送り付けた。その後、Teamsを悪用し、これらの従業員に電話やビデオ通話をかけ、技術サポート担当者になりすましてフィッシング攻撃を実施した。フィッシング攻撃の狙いは、マルウェアのインストールだったという。
両グループはTeamsを悪用している点で共通しているが、その手口の詳細は異なる。
STAC5143の攻撃では、標的の従業員が「Help Desk Manager」という名前の社外アカウントからTeams通話を受信したという。「標的企業はマネージドサービスプロバイダー(MSP)のサービスを利用していた。そのため、従業員は警戒せずに通話に応答した」(Sophos)。通話中に攻撃者は、Teamsでリモート画面操作を許可するよう促し、マルウェア感染用のファイルを受け渡してマルウェアをインストールさせたという。
STAC5777の攻撃では、攻撃者は標的の従業員に大量のメールを送り付けた後、Teamsで社内IT担当者を装い、「スパム(迷惑メール)問題が発生している」というメッセージを送信。スパム問題を解決するためにTeamsで通話を求めたという。
後編は、他の攻撃者グループによる類似の攻撃を見る。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
社会人Z世代の休日の過ごし方 関東と関西の違いは?
大広若者研究所「D'Z lab.」は、37人へのインタビューと1000人へのアンケートを基に、社...
製造業の8割が既存顧客深耕に注力 最もリソースを割いている施策は?
ラクスは、製造業の営業・マーケティング担当者500人を対象に、新規開拓や既存深耕におけ...
「生成AIで作った広告」が物議 そのとき、コカ・コーラはどう動いた?
生成AIを広告制作に活用し、議論を呼んだCoca-Cola。この経験から何を学んだのか。
ITmediaはアイティメディア株式会社の登録商標です。
