Social Engineering Risks Found in Microsoft Teams
2023/05/17 InfoSecurity — ソーシャル・エンジニアリングを介して、Microsoft Teams を悪用しようとする、いくつかの新たな手口が、Proofpoint のセキュリティ研究者たちにより発見された。同社が 2023年5月17日に発表したレポートには、「最近のことだが、2022年後半にかけて確認された、Microsoft 365 クラウド・テナントを標的とした 4億5000万以上の悪意のセッションを分析した。この調査結果によると、Microsoft Teams は、最も標的とされた 10 のサインイン・アプリケーションの1つであり、標的とされた組織の 40% 近くで、少なくとも1回の不正ログインが試みられていた」と記されている。
Proofpoint チームが観測した手口の1つは、Teams のチャンネルやチャットでタブを操作し、機密情報にアクセスするものだった。あるいは、タブの名前をすり替えることで既存のタブに見せかけ、悪意の Web サイトに誘導するケースもあった。それらは、クレデンシャル・フィッシングによく使われる手口である。
同社のレポートには、「タブの操作は、パワフルかつ自動化された攻撃ベクターの一部であり、アカウント侵害に続くものになり得ることが判明した。一般的に見て、既存のタブの名前と重ならない限り、ユーザーは新たなタブ名を選択することが可能だ。さらに、ユーザーへの制限により、デフォルト・タブの前に再配置することは不可能だと考えられる」と説明されている。
それを悪用する攻撃者は、ユーザーのデバイス上に自動的にファイルをダウンロードするカスタム・タブを作成した、マルウェアを配信することが可能だったはずだ。さらに Proofpoint は、攻撃者が Teams の API コールを使って会議のインビテーションを操作し、デフォルト・リンクを悪意のものに置き換えようとしていたことも確認した。それにより、ユーザーは知らず知らずのうちに、フィッシング・ページの閲覧や、マルウェアのダウンロードへと誘導される可能性がある。
この脅威アクターは、Teams API または UI を悪用して、送信メッセージに含まれるリンクを変更していたことも確認された。このようなケースでは、表示されるハイパー・リンクは同じだが、遷移先の URL が変更されているため、ユーザーは悪意の Web サイトやリソースに誘導されることになる。
Proofpoint のレポートでは、「前述の悪用方法は、侵害されたユーザー・アカウントまたは Teams トークンへの、既存のアクセスが必要なことに注意する必要がある。ただし、2022年には、Microsoft 365 のテナントの 約60%が、少なくとも1件のアカウント乗っ取りインシデントに見舞われている。したがって、これらの方法が拡散する可能性があれば、脅威アクターは侵害後の横移動を可能にし得るはずだ」と述べている。
Microsoft Teams は使っていないので、この記事を訳してもピンとこないところがありますが、Slack に置き換えてイメージしてみると、なんとなく怖さが伝わってきます。タブはたくさんあって、それらの名前も似通ったものになります。したがって、このあたりにある、こんな感じの名前のタブを、誰もが日常の作業の中でクリックすることになります。しかも、そのコンテンツは、メンバーにより常に更新されているため、変化に対する疑いを持たないという状況が前提となります。そこで、フィッシングを仕掛けられると、かなりの確率で、引っかかってしまうはずです。この種のコラボレーション・ツールのタブ管理も、とても重要なポイントになりますね。よろしければ、Teams で検索、および、Slack で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.