Microsoft TeamsのVishing攻撃：Quick Assist悪用の手口

はじめに

Microsoftの最新Cyberattack Seriesレポートは、セキュリティチームにとってタイムリーな警告です。攻撃者は、アクセスを得るために必ずしも未修正の脆弱性を必要とするわけではありません。今回の事例では、脅威アクターがMicrosoft Teamsの音声フィッシングを利用し、ITサポートになりすまして、従業員にQuick Assist経由のリモートアクセスを許可させました。その結果、日常的なコラボレーションやサポートのワークフローが侵入口へと変えられました。

何が起きたのか

Microsoft Incident Response (DART)によると、この攻撃はMicrosoft Teamsでの執拗なVishingから始まりました。2回の試みが失敗した後、攻撃者は3人目の従業員を説得し、Quick Assistセッションを承認させました。

接続後、脅威アクターは素早く行動しました。

• 攻撃者が管理する悪意あるWebサイトへユーザーを誘導
• 偽装されたサインインフォームを通じて企業の認証情報を窃取
• デバイス上に複数の悪意あるペイロードをダウンロード
• 偽装したMSIパッケージを使って悪意あるDLLをサイドロード
• 信頼されたWindowsの仕組みを使ってC2を確立
• 暗号化ローダー、リモートコマンド実行、認証情報の収集、セッションハイジャックによりアクセスを拡大

Microsoftは、攻撃者が正規の管理ツールや、通常の企業活動に紛れ込むことを目的とした手法に大きく依存していたと指摘しています。

IT部門とセキュリティチームにとって重要な理由

この事例は、信頼そのものが主要な標的となる、ID起点の攻撃パターンが拡大していることを示しています。Teamsのようなコラボレーションプラットフォームは、特にユーザーが社内サポート担当者とやり取りしていると信じている場合、緊急性と正当性を演出するために悪用される可能性があります。

管理者にとっての重要な教訓は、Quick Assistや一般的なリモート管理ユーティリティのような組み込みツールでも、ガバナンスが弱ければ高リスクになり得るという点です。主にマルウェアシグネチャやエクスプロイト検知に依存する従来型の防御では、初期段階のソーシャルエンジニアリングやhands-on-keyboard型の活動を見逃す可能性があります。

Microsoftの対応

DARTは、この侵害がTeamsでのVishingの成功したやり取りに起因することを確認し、脅威がさらに拡大する前に封じ込め対応を実施しました。Microsoftによると、

• 活動期間は短く、影響範囲も限定的だった
• 対応チームは特権資産の保護とラテラルムーブメントの制限に注力した
• フォレンジック分析では持続化の仕組みは残っていなかった
• 攻撃者のより広範な目的は達成されなかった

推奨される次のステップ

組織は、コラボレーションとリモートアクセスの両方の制御を直ちに見直すべきです。

• 管理されていない外部アカウントからのTeams着信通信を制限する
• Teams連絡先として信頼できる外部ドメインの許可リスト化を検討する
• 使用中のリモート監視ツールとリモートサポートツールを棚卸しする
• 不要な場合はQuick Assistを削除または無効化する
• 承認済みの社内チャネルを通じてITサポート依頼を確認するようユーザー教育を行う
• 正規の管理ツールの不審な使用や異常なリモートセッションを監視する

要点

このレポートは、現代の侵入の多くがエクスプロイトではなく、まず説得から始まることを明確に示しています。セキュリティチームは、Teamsの外部アクセスを強化し、不必要なリモートサポートツールを削減し、ユーザー確認プロセスを強化することで、信頼を悪用する攻撃の実行をより困難にする必要があります。