「Teamsユーザーの油断」がランサムウェア攻撃につながる訳：Teams悪用の手口【後編】

「Microsoft Teams」をソーシャルエンジニアリングに悪用する手口が観測されている。Teamsを悪用した攻撃に対してユーザー組織はどのような点に注意すべきなのか。

[Arielle Waldman，TechTarget]

　MicrosoftのWeb会議ツール「Microsoft Teams」（以下、Teams）を悪用した攻撃が広がっていると、セキュリティベンダーSophosは警鐘を鳴らしている。同社が攻撃活動を確認しているのは、「STAC5143」「STAC5777」という2つのサイバー犯罪グループだ。Teamsの通話やチャットで外部の技術サポート担当者を装い、マルウェア感染やデータ摂取を狙う。同様の手口を使っている攻撃グループは他にもある。

Microsoftが追跡する“あのグループ”も同様の手口

併せて読みたいお薦め記事

連載：Teams悪用の手口

• 前編：「Teamsの設定」が落とし穴に？　正規ユーザーに見せかけた“わな”が横行

Microsoft製品のユーザーは攻撃に要注意

• 攻撃者は「Microsoft製品」を攻略か？　狙われ続けるOutlookユーザー
• ロシア系攻撃集団が狙う「Microsoft Office」の脆弱性　なぜ危ない？

　Teamsをソーシャルエンジニアリング（人の心理を巧みに操って意図通りの行動をさせる詐欺手法）を悪用しているのは、STAC5143やSTAC5777だけではない。Sophosによると、Microsoftが「Storm-1811」として追跡している攻撃者グループも同様の手口を使っている。

　Microsoftは2024年5月、Storm-1811が標的の従業員に対し、Teamsを悪用してメッセージを送ったり、電話をかけたりする一連の攻撃について警告を公開した。Storm-1811は、ランサムウェア（身代金要求型マルウェア）「Black Basta」を使った攻撃活動で知られている。

　Sophosによると、Teamsを悪用したStorm-1811の攻撃活動においてもBlack Bastaが使われているケースがある。同社のマネージド型脅威検出ツール「Sophos MDR」のユーザー組織を狙った攻撃調査で、Black Bastaを実行しようとした事例が明らかになった。攻撃はSophosの保護ツールによってブロックされたという。

　こうした攻撃活動を受け、SophosはTeamsのユーザー組織に、社外からの通話やチャットを制限するといった対策を推奨している。加えて、ソーシャルエンジニアリングに関するトレーニングを実施し、技術サポート担当者を装った連絡に対する警戒心を高めることも重要だと説明する。「Teamsを使用する全ての組織はこうした手口の攻撃を受ける恐れがあるので、注意しなければならない」（同社）

　Sophosによれば、攻撃者がTeams以外のコミュニケーションツールも同様に悪用する可能性がある。Teams悪用が始まったのは約4年前、新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）の最中だという。現在はその手口が進化し、ランサムウェア攻撃も含め、さまざまな攻撃に悪用されるようになっていると同社は説明する。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。