Microsoft Teamsを悪用したサイバーアタック 背後にロシア脅威アクター

今回はMicrosoftのチャットツールである、Teamsを悪用したサイバー攻撃が確認されましたので、その攻撃について解説します。 どうやら、背後にはロシアの脅威アクターがいる様子です。 Microsoftは、8月2日にMicrosoft Security Blogにおいて、Midnight Blizzardと呼ばれる脅威アクターにより、Microsoft Teamsの、チャットを悪用した攻撃について注意を呼び掛けました。 Microsoftは、ソーシャルエンジニアリングの攻撃であることを確認しています。 Midnight BlizzardはAPT29などの別名でも追跡されるロシアを拠点とする脅威アクターです。 この脅威アクターは、ロシアの対外情報庁に所属しているとされています。 彼らは、主に米国とヨーロッパ各国の政府、外交機関、非政府組織およびIT関連企業を標的にしていることが知られています。 Microsoftによると、今回確認された攻撃は過去に侵害した中小企業のMicrosoft 365テナントを悪用しています。 脅威アクターは、まず、Microsoftの正規のドメインのサブドメインを作成します。 作成したサブドメインに関連したユーザーを作成し、このユーザーでMicrosoft Teamsを使って標的のテナントへメッセージを送信します。 このメッセージは正規のサブドメインから送信されるため、受信したユーザーはだまされる可能性が高くなるのです。 私もMicrosoftの正規のユーザーから届いたのかなと、思わず、チャットを開始してしまいそうです。気を付けます。 標的となるユーザーの条件は、事前に認証情報を窃取されているか、または、パスワードレス認証が設定されていて、多要素認証を必要とするかです。 なぜなら、脅威アクターがログインを試みると多要素認証で必要となるコードが求められます。 脅威アクターは、大胆にも、Microsoft Teamsで直接連絡を取り、ユーザーに認証をさせ、システムへ侵入するのです。 恐ろしいですね。 Microsoftは、この脅威のリスクを軽減するために、次の緩和策を推奨しています。 まず初めに、フィッシングに耐性のある認証方法を導入すること。 そして次に、重要なアプリケーションを使用する従業員、および外部ユーザーにフィッシングに、耐性のある認証方法として、条件付きアクセスの認証を設定すること。 また、外部ドメインからのチャット、および会議へのアクセス制御を行うため、信頼できるMicrosoft 365の組織を指定すること。 などです。 Microsoftは、この脅威のリスクを軽減するために、これらの緩和策を推奨しています。 これらのMicrosoftが推奨する防御対策の内容からもわかるように、ソーシャルエンジニアリング型の攻撃に対する重要な防衛策は、ユーザーの認証方式の強化なのです。 誰からでも、どこからでも、何時でも認証できる設定になっていると、侵害をうけやすくなってしまうのです。 そして、侵害を受けても気づくことができないのです。 今回解説したような攻撃の手順を、Teamsユーザーに例示し、体験してもらうことで、万が一、同様の事態に置かれたときに、自信をもって対応できるようになります。 そのような訓練をすることが望まれます。