サイバー攻撃者がMicrosoft Teamsを悪用し、企業のネットワークに不正侵入する手口が急増している。Trend Microの最新レポートによると、攻撃者はソーシャルエンジニアリングを駆使し、リモートデスクトップツールの認証情報を詐取。その後、Microsoftの正規ツールであるOneDriveStandaloneUpdater.exeを利用し、脆弱な.DLLファイルをサイドロードすることでバックドアを設置する。

この手法により、「BackConnect」と呼ばれるリモートアクセスツールが展開され、攻撃者は企業ネットワークへの継続的なアクセスを獲得。感染したデバイスを踏み台にし、データ窃取や遠隔操作を行う。特に正規ツールが利用されるため、従来のセキュリティ対策では検出が困難とされる。

2024年10月以降、北米やヨーロッパを中心に確認された被害は40件以上にのぼる。企業においては、多要素認証の導入や従業員へのセキュリティ教育、ネットワークトラフィックの監視が不可欠となる。今後もこうした攻撃の拡大が懸念され、警戒が必要だ。

Microsoft Teamsを起点とした新たな攻撃手法 企業ネットワークへの脅威が拡大

Microsoft Teamsを悪用したサイバー攻撃が確認されている。Trend Microのレポートによれば、攻撃者はTeamsを通じて標的に接触し、ソーシャルエンジニアリングで認証情報を詐取。その後、Quick Assistなどのリモートデスクトップツールを利用し、OneDriveStandaloneUpdater.exeを通じて脆弱な.DLLファイルをサイドロードすることで、バックドアを設置する。

この攻撃の特徴は、正規のMicrosoftツールを利用する点にある。一般的なマルウェアとは異なり、正規のアップデートプロセスを悪用することで、セキュリティソフトウェアの検出を回避しやすい。特にBackConnectと呼ばれるリモートアクセスツールが使用され、企業ネットワークに長期間潜伏する可能性が高い。

2024年10月以降、北米やヨーロッパを中心に40件以上の被害が報告されており、今後の拡大が懸念される。

正規ツールを利用したサイバー攻撃の巧妙さ 伝統的な防御策の限界

今回の攻撃手法は、従来のマルウェア対策では十分に防ぐことが難しい。攻撃者はMicrosoft TeamsやOneDriveStandaloneUpdater.exeなど、普段業務で使用される正規ツールを利用するため、セキュリティソフトが異常を検知しにくい。これにより、従来のブラックリスト型の防御策では対応が困難となる。

さらに、攻撃の初期段階では標的とのやり取りを行うため、従業員の判断が重要となる。しかし、巧妙なソーシャルエンジニアリング手法が使われるため、従業員が騙されるリスクが高い。攻撃者は信頼できる相手になりすまして接触し、認証情報を聞き出した上で、不正アクセスの足掛かりを築く。

こうした手法は技術的な防御だけでは防ぐことが難しく、企業側のセキュリティ意識が重要になる。企業においては、多要素認証(MFA)の導入や、クラウドストレージの設定監査といった対策が求められる。また、リモートアクセスツールの利用制限や、異常なネットワークトラフィックの監視も有効だ。

加えて、従業員へのセキュリティ教育を徹底し、不審なやり取りを即座に報告する体制を整えることが、被害の抑止につながる。

企業が取るべき防御策と今後の展望 迅速な対応が被害を防ぐ鍵

この種の攻撃に対処するには、技術的な対策と人的対策を組み合わせることが不可欠である。まず、企業ネットワークにおけるリモートデスクトップツールの使用状況を見直し、必要のないツールを制限することが求められる。また、多要素認証(MFA)の導入により、単一の認証情報が漏洩した場合でも被害を最小限に抑えることが可能だ。

ネットワークの監視体制を強化することも重要だ。特に、外部のC2(コマンド&コントロール)サーバーとの不審な通信を検知することで、攻撃の早期発見につながる。さらに、従業員への教育を徹底し、ソーシャルエンジニアリングの手口を理解させることで、攻撃の初期段階での防御力を高めることができる。

今後、正規ツールを利用した攻撃はさらに巧妙化し、企業のセキュリティ対策をすり抜ける手法が開発される可能性が高い。特にクラウドサービスの普及に伴い、攻撃の対象はオンプレミス環境からクラウド環境へと移行する傾向が見られる。企業は、単にツールの導入に頼るのではなく、包括的なセキュリティ対策を講じる必要がある。

Source:TechRadar