コミュニケーションツールとして広く使われている「Microsoft Teams」。そのTeamsを巧みに使ったソーシャルエンジニアリングの手口が観測されているという。
セキュリティベンダーSophosは、MicrosoftのWeb会議ツール「Microsoft Teams」(以下、Teams)を悪用した攻撃について注意を呼び掛けている。攻撃者が技術サポート担当者になりすまし、マルウェア感染やデータ摂取を狙うソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)の手口が観測されているという。その手口とはどのようなものなのか。
Sophosは2025年1月に公開したレポートで、「STAC5143」「STAC5777」という2つの攻撃者グループの活動について解説した。レポートの公開時点において、過去3カ月で両グループによる攻撃を15件以上観測したという。Sophosによれば、両グループは攻撃の手口としてTeamsのチャットやWeb会議機能を使い、標的企業の従業員に対し、技術サポート担当者を装った攻撃を実施した。
両グループの狙いは、標的企業のデータを盗んだり、標的企業にランサムウェア攻撃を仕掛けたりすることにあったとSophosは説明する。「どちらのグループも『Microsoft 365』(Microsoftのサブスクリプションサービス)の独自のテナント(アカウント専用の運用環境)を用意し、外部ドメインのユーザーが内部ユーザーとチャットや会議ができる設定を利用していた」(同社)という。
Sophosによると、STAC5143とSTAC5777はいずれも標的企業の数人の従業員に狙いを定め、窮地に追い込むために大量のメールを送り付けた。その後、Teamsを悪用し、これらの従業員に電話やビデオ通話をかけ、技術サポート担当者になりすましてフィッシング攻撃を実施した。フィッシング攻撃の狙いは、マルウェアのインストールだったという。
両グループはTeamsを悪用している点で共通しているが、その手口の詳細は異なる。
STAC5143の攻撃では、標的の従業員が「Help Desk Manager」という名前の社外アカウントからTeams通話を受信したという。「標的企業はマネージドサービスプロバイダー(MSP)のサービスを利用していた。そのため、従業員は警戒せずに通話に応答した」(Sophos)。通話中に攻撃者は、Teamsでリモート画面操作を許可するよう促し、マルウェア感染用のファイルを受け渡してマルウェアをインストールさせたという。
STAC5777の攻撃では、攻撃者は標的の従業員に大量のメールを送り付けた後、Teamsで社内IT担当者を装い、「スパム(迷惑メール)問題が発生している」というメッセージを送信。スパム問題を解決するためにTeamsで通話を求めたという。
後編は、他の攻撃者グループによる類似の攻撃を見る。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
Webサイト改善のゴール(KGI)と戦略(KPI)の決め方
連載第2回目となる今回は、Webサイト改善のためのゴール(KGI)と戦略(KPI)の設定方法...
メルマガをきっかけにした商品購入、B2B商材ではどれくらいの人が経験?
ラクスが「メルマガに関する調査レポート」を公表した。メルマガ経由のサービス購入や資...
「ECプラットフォーム」売れ筋TOP10(2025年2月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
