チェック・ポイント傘下のアヴァナンの研究者らは、Microsoft Teamsコミュニケーション・プラットフォームを悪用して企業ユーザーを感染させる攻撃を発見したと発表した。
攻撃が最初の足掛かりを得た経緯
Microsoft Teamsは、Microsoft 365ファミリー製品の一部であり、世界中の多くの企業に導入されている人気のプラットフォームです。このプラットフォームでは、音声会議やビデオ会議、複数のチャンネルでのチャット、ユーザー間またはユーザーグループ間のファイル交換が可能です。
サイバースパイ活動の観点から見ると、これはまさに金鉱のようなものです。標的企業のTeamsプラットフォームへのアクセスは、様々なチャネルでのすべての会話へのアクセスを意味し、そこには非常に機密性の高い情報や知的財産が含まれている可能性があります。また、ユーザー間で共有されている機密ファイルも含まれている可能性があります。しかし、金銭目的のサイバー犯罪者にとっても、Teams内で興味深いデータを入手し、例えばクレジットカード情報を入手するなど、さらなる不正行為に利用できるようになる可能性があるため、非常に興味深いものです。
Teamsプラットフォームへのアクセスを実現するために、攻撃者が必要とするのは、標的組織の従業員の有効な認証情報だけです。Avanan氏が指摘しているように、これはフィッシングキャンペーンの実行などによって行われることが多く、ユーザーのメール認証情報を取得することで実現される可能性があります。
もちろん、攻撃者は初期アクセス ブローカーから有効な認証情報を購入したり、ソーシャル エンジニアリングを使用して特定のユーザーをターゲットにして、そのユーザーの企業パスワードを入手したりする可能性もあります。
Teams経由の感染
攻撃者が有効な電子メール認証情報を入手すると、会社の Teams プラットフォームにログインできるようになります。
Avananは、この分野において毎月数千件もの攻撃を受けています。攻撃者は、「UserCentric.exe」という名前の実行ファイル(.exe)を複数のTeams会話にドロップすることで攻撃を行います。この実行ファイルは悪意のあるファイルであり、通常はトロイの木馬です。このファイルはWindowsレジストリにデータを書き込み、DLLファイルをインストールし、ショートカットリンクを作成します。これらのリンクによって、プログラムは自己管理を行い、コンピューターを制御できるようになります。
Avanan氏はこのマルウェアをユーザーに感染させる最終的な目的については言及していませんが、攻撃者が標的の内部ネットワークからより多くのデータを取得したり、ネットワーク内のコンピュータへの完全なアクセスを取得したりすることを目的としているのではないかと推測されます。この情報は、金融詐欺やサイバースパイ活動に悪用される可能性があります。
完璧なターゲット?
Microsoft Teamsには悪意のあるリンクを検出するシステムがなく、一般的なウイルス検出エンジンのみが搭載されています。ユーザーは企業が提供するプラットフォームに接続するため、「ここではすべて安全だ」という誤った認識から、共有されるすべての情報を体系的に信頼する傾向があります。
セキュリティの観点から、その信頼は、ユーザーが慣れていないプラットフォームで通常よりもはるかに多くのデータを共有するように促します。
攻撃者は、さまざまなチャット チャネルに感染リンクや直接ファイルを配置するだけでなく、任意のユーザーとプライベートにチャットし、ソーシャル エンジニアリング スキルを使用して感染させる可能性もあります。
入手したファイルをハードドライブに保存し、開く前にウイルス対策製品や脅威検出製品を起動しようとするユーザーはほとんどいません。
アバナンは、こうした攻撃が何千件も発生していることから、今後この種の攻撃が大幅に増加すると予想していると述べた。
Teams攻撃から身を守る方法
まず、すべてのユーザーの電子メール資格情報を保護するために、あらゆる対策を講じる必要があります。
さらに、この記事で報告されている特定の Teams の脅威に関して IT 部門が行うべきことは次のとおりです。
- Teams に使用される Microsoft アカウントで 2 要素認証を有効にして、ユーザーが電話で検証を使用する必要があるようにします。
- Teams関連のSharePointフォルダにドロップされるすべてのファイルに対して、追加のセキュリティ対策を実施してください。すべてのファイルは脅威検出ソリューションでチェックする必要があります。また、暗号化ハッシュをVirusTotalに送信し、ファイルが既に既知のファイルで悪意のあるファイルとして分類されているかどうかを確認することもできます。
- Teamsにコピーされるすべてのリンクに追加のセキュリティ対策を実装してください。可能であれば、複数のリンクレピュテーションサービスを利用して、リンクの安全性を確認してください。
- 従業員の意識向上を図る。フィッシング攻撃やあらゆるメールの脅威に対する意識を高めるのと同様に、コミュニケーションや共有プラットフォームのリスクについても従業員に周知徹底する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
