クロステナント Teams なりすまし攻撃プレイブック

はじめに

Microsoft は、攻撃者が外部の Microsoft Teams チャットを悪用して IT 部門や helpdesk 担当者になりすます手口について、新たな脅威調査を公開しました。IT 部門とセキュリティ チームにとって、これは現代の phishing やソーシャル エンジニアリングがもはや email だけで始まるものではなく、信頼されたコラボレーション ツールの内部から始まり、短時間で企業全体の侵害へとエスカレートし得ることを示す重要な注意喚起です。

新たに判明したこと

Microsoft のレポートは、クロステナント Teams メッセージから始まり、データ流出で終わる完全な 人手による侵入プレイブック を示しています。

Microsoft が強調した攻撃チェーン

• Teams 経由の初期接触: 攻撃者は外部 Teams 通信を利用してサポート担当者を装います。
• リモート支援の足掛かり: 被害者は Quick Assist や類似のリモート サポート ツールを起動し、アクセスを承認するよう誘導されます。
• 偵察と検証: 攻撃者はユーザー権限、システム情報、アクセス レベルを迅速に確認します。
• 信頼されたアプリの悪用: ベンダー署名済みアプリケーションが、攻撃者提供のモジュールとともに起動され、悪意のあるコードを実行します。
• コマンド アンド コントロール: 攻撃者は通常の管理アクティビティに紛れ込みながら永続的なアクセスを確立します。
• 横展開: WinRM などのネイティブ ツールを使って、domain controller を含む高価値資産へと移動します。
• 追加ツールの展開: Level RMM のような商用リモート管理ソフトウェアが展開される場合があります。
• データ流出: Rclone などのユーティリティを使用して機密データを準備し、外部クラウド ストレージへ転送します。

管理者にとって重要な理由

このキャンペーンが注目されるのは、明白な malware ではなく、正規の Microsoft 製およびサードパーティ製ツール に大きく依存しているためです。その結果、検出が難しくなり、活動が通常の IT サポート、リモート管理、またはユーザー承認済みの操作に見える可能性が高まります。

最大のリスクは、外部 Teams メッセージングそのものだけではなく、ユーザーが リモート制御を承認する 瞬間にあります。それが発生すると、攻撃者は多くの場合数分以内に、より広範なアクセスの確立、ツールの展開、ID またはドメイン インフラの標的化へと素早く移行できます。

推奨される対策

管理者は、コラボレーション、endpoint、ID セキュリティ全体でコントロールを見直す必要があります。

• 外部 Teams アクセスを強化 し、クロステナント通信ポリシーを確認する。
• ユーザー教育を実施 し、Teams で届く unsolicited な helpdesk やセキュリティ担当者からの連絡、特に初回メッセージを疑って扱うよう徹底する。
• Quick Assist を制限または監視 し、可能であれば他のリモート サポート ツールも対象にする。
• 不審なプロセス チェーンを監視 し、QuickAssist.exe に続いて cmd.exe や PowerShell が起動するパターンに注意する。
• 横展開のアクティビティを監視 し、WinRM や想定外のリモート管理ソフトウェアの使用を確認する。
• データ流出の兆候を確認 し、Rclone のようなツールや通常とは異なるクラウド ストレージ宛先に関連する挙動を監視する。
• Microsoft Defender XDR を活用 し、ID、endpoint、Teams の telemetry を相関分析して早期検出につなげる。

まとめ

Microsoft の調査は、コラボレーション プラットフォームがすでにアクティブな侵入の一部になっていることを示しています。セキュリティ チームは、Teams ベースのなりすましと、ユーザー承認によるリモート支援を高リスクな侵入経路として扱い、それに応じて監視、ユーザー意識向上、インシデント対応プレイブックを更新すべきです。