メインコンテンツへスキップ
インテリジェンスダイジェスト

無害ではないチャット - MS Teamsがマルウェアの配布に利用される。

Microsoft Teamsへの内在的な信頼が、なぜ賢明な考えとは言えないのか

Rodman Ramezanian - エンタープライズクラウドセキュリティアドバイザー

2022年5月19日 7分で読めます

Bleeping Computerの報道によると、脅威アクターは、チャットスレッドに悪意のあるドキュメントを仕込むことで、Microsoft Teamsを標的としたマルウェア配布の取り組みを強化しており、その結果、被害者は企業システムを乗っ取るトロイの木馬を実行してしまいます。

従来、ハッカーは、Microsoftのユニバーサルなドキュメントおよび共有スイートであるOfficeとそのクラウドベースのOffice 365に標的を絞り、Word、Excelなどの個々のアプリに対する攻撃を行ってきました。

現在、COVID-19以降の驚異的な導入増加 (他の多くのSaaSアプリケーションと同様に) により、Microsoft Teamsは極めて一般的な攻撃対象であり続けています。多くの組織の従業員がリモートワークを続ける中、共同作業におけるMicrosoft Teamsへの依存度はこれまで以上に高まっています。Statistaの市場インサイトによると、Teamsの1日あたりのアクティブユーザー数は2020年から2021年にかけてほぼ倍増し、Microsoftの報告では、2022年1月時点で月間アクティブユーザー数が2億7000万人に達したとされています。

不十分なセキュリティ認証方法によってスピアフィッシングやビジネスメール詐欺(BEC)攻撃が成功しやすくなることで、脅威アクターは企業のMicrosoft 365アカウントへのアクセス権を獲得し、これにより組織間のアプリケーション、チャット、ファイル、ディレクトリへのアクセス権も付与されます。

そこから、Teamsのチャットメッセージを介してトロイの木馬が仕込まれたファイルを送信することはほとんど労力を要せず、ユーザーによる実行につながります。残念ながら、その後ユーザーのシステムが乗っ取られ、災害が発生します。

これらの侵害はなぜ発生するのでしょうか?

スピアフィッシングやBEC攻撃の手口は目新しいものではなく(これは緩いセキュリティ対策を正当化するものではありませんが)、ユーザーは通常、社内のメールフィッシング対策トレーニングのおかげで、メールで受信するデータには注意を払っています。しかし、ほとんどのユーザーは、プライベートな企業チャットプラットフォームを介して受信するファイル、特に「User Centric」という一見無害な添付ファイルに対しては、ほとんど注意や疑念を抱きません。その時点で、ことわざにもあるように「ユーザーが最も弱いリンク」となり、脅威アクターがシステムを制御するために必要な足がかりを提供してしまいます。残念ながら、MS Teamsの限られたネイティブ保護機能は、これらの種類の攻撃を悪化させます。

何ができるでしょうか?

  • フィッシングやビジネスアカウントの侵害に関わる問題に直面する際には、ユーザーの意識向上トレーニングが常に不可欠です。
  • アカウントの乗っ取りを防ぐためには、多要素認証の使用を義務付けることも不可欠です。
  • 残念ながら、これらだけでは非常に巧妙な攻撃からユーザーを保護するには不十分な場合があります。
  • 確かに、Microsoft Teams自体は、悪意のあるコンテンツがないかメッセージやファイルをスクリーニングする点においては、機能が豊富とは言えません。
  • このため、Teamsだけでなく、SharePointやOneDriveなど、通常アカウント侵害を容易にする可能性のある他のすべてのMicrosoft 365サービスに対しても、マルウェア保護、Data Loss Prevention、行動分析、コラボレーション制御を統合したセキュリティプラットフォームを利用することを強くお勧めします。

Skyhigh Security をご利用ですか?

ロッドマン・ラメザニアン

著者について

ロッドマン・ラメザニアン

エンタープライズクラウドセキュリティアドバイザー

サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。

ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。

率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。

攻撃のハイライト

  • 脅威アクターは、スピアフィッシングやビジネスメール詐欺(BEC)攻撃を介して企業のMicrosoft 365アカウントを乗っ取ります
  • その後、アカウント認証情報が使用され、Microsoftユーザーアカウントおよびアプリ(MS Teams)に侵入します
  • ハッカーは、エンドユーザーを騙すために、「User Centric」と称して、Microsoft Teamsの会話に悪意のある実行可能ファイルをドロップし始めています
  • 実行されると、マルウェアはシステムのレジストリにデータを書き込み、DLLをインストールし、Windowsマシン上で永続性を確立します
  • 実行されているオペレーティングシステムとハードウェアに関する詳細な情報が、OSのバージョンとインストールされているパッチに基づいたマシンのセキュリティ状態とともに収集されます
  • その結果、脅威アクターはエンドユーザーシステムへの完全なアクセス権を獲得します