今回はMicrosoftのチャットツールである、Teamsを悪用したサイバー攻撃が確認されましたので、その攻撃について解説します。

どうやら、背後にはロシアの脅威アクターがいる様子です。

Microsoftは、8月2日にMicrosoft Security Blogにおいて、Midnight Blizzardと呼ばれる脅威アクターにより、Microsoft Teamsの、チャットを悪用した攻撃について注意を呼び掛けました。
Microsoftは、ソーシャルエンジニアリングの攻撃であることを確認しています。

Midnight BlizzardはAPT29などの別名でも追跡されるロシアを拠点とする脅威アクターです。
この脅威アクターは、ロシアの対外情報庁に所属しているとされています。
彼らは、主に米国とヨーロッパ各国の政府、外交機関、非政府組織およびIT関連企業を標的にしていることが知られています。

Microsoftによると、今回確認された攻撃は過去に侵害した中小企業のMicrosoft 365テナントを悪用しています。
脅威アクターは、まず、Microsoftの正規のドメインのサブドメインを作成します。
作成したサブドメインに関連したユーザーを作成し、このユーザーでMicrosoft Teamsを使って標的のテナントへメッセージを送信します。
このメッセージは正規のサブドメインから送信されるため、受信したユーザーはだまされる可能性が高くなるのです。
私もMicrosoftの正規のユーザーから届いたのかなと、思わず、チャットを開始してしまいそうです。気を付けます。

標的となるユーザーの条件は、事前に認証情報を窃取されているか、または、パスワードレス認証が設定されていて、多要素認証を必要とするかです。
なぜなら、脅威アクターがログインを試みると多要素認証で必要となるコードが求められます。
脅威アクターは、大胆にも、Microsoft Teamsで直接連絡を取り、ユーザーに認証をさせ、システムへ侵入するのです。
恐ろしいですね。

Microsoftは、この脅威のリスクを軽減するために、次の緩和策を推奨しています。
まず初めに、フィッシングに耐性のある認証方法を導入すること。
そして次に、重要なアプリケーションを使用する従業員、および外部ユーザーにフィッシングに、耐性のある認証方法として、条件付きアクセスの認証を設定すること。
また、外部ドメインからのチャット、および会議へのアクセス制御を行うため、信頼できるMicrosoft 365の組織を指定すること。
などです。

Microsoftは、この脅威のリスクを軽減するために、これらの緩和策を推奨しています。
これらのMicrosoftが推奨する防御対策の内容からもわかるように、ソーシャルエンジニアリング型の攻撃に対する重要な防衛策は、ユーザーの認証方式の強化なのです。

誰からでも、どこからでも、何時でも認証できる設定になっていると、侵害をうけやすくなってしまうのです。
そして、侵害を受けても気づくことができないのです。

今回解説したような攻撃の手順を、Teamsユーザーに例示し、体験してもらうことで、万が一、同様の事態に置かれたときに、自信をもって対応できるようになります。
そのような訓練をすることが望まれます。