Teamsを標的にした新たなサイバー攻撃が見つかる 悪意あるWebページなどに誘導

ProofpointはMicrosoft Teamsを狙った新たなサイバー攻撃手法を発見した。文書化されていないAPIを利用することで、タブの配置や名前を操作し、任意のWebサイトをタブとして追加したり、その他のサイバー攻撃が可能になったりする。

[後藤大地，有限会社オングス]

　Proofpointは2023年5月17日（現地時間）、「Microsoft Teams」（以下、Teams）を悪用した新たな攻撃手法を発見したと発表した。文書化されていないAPIを利用することでタブの配置や名前を操作し、任意のWebサイトをタブとして追加したり、その他のサイバー攻撃が可能になったりするという。

ProofpointはTeamsを悪用したサイバー攻撃の詳細を伝えた（出典：ProofpointのWebサイト）

Teams悪用でアカウント窃取などが可能に　有効な対策は？

　Proofpointが指摘している主な悪用方法は以下の通りだ。

　Teamsは他のアプリケーションによって作成されたタブを追加できる機能がある。「Microsoft SharePoint」や「Microsoft OneDrive」に関連するデフォルトタブである「Files」はそうしたタブの一つだ。

　ユーザーはこのタブの名前を自由に変更できるが、デフォルトタブの前に置くように再配置することはできない。しかし文書化されていないTeamsのAPIを利用することで、タブの並び替えや名前の変更が可能になることが分かった。この機能を利用すると、サイバー攻撃者が任意のWebサイトをタブとして追加して固定できる。

　これによって、サイバー攻撃者は「Microsoft 365」のサインインページを装った偽のWebページを表示してアカウントを窃取するといった攻撃が可能になる。通常こうしたサイバー攻撃に対してはWebブラウザのURLをチェックすることが推奨されるが、TeamsにはURLが表示されないため悪意ある攻撃であることに気が付きにくい。

　さらに、このサイバー攻撃はURLではなくファイルに対して実行可能であることが判明した。この仕組みを利用するとTeamsのデスクトップアプリケーションやWebクライアントが自動的にデバイスにファイルをダウンロードできるため、企業のPCやネットワークに悪意あるドロッパーが仕掛けられる可能性がある。

　Teamsはユーザーのカレンダーと同期してスケジュールされた会議を表示、作成、編集できる。デフォルトではオンライン会議を作成する際に、オンライン会議の説明文に幾つかのリンクが含まれるようになっている。このリンクはユーザーがオンライン会議に参加したり、Teamsのデスクトップアプリケーションをダウンロードしたりするために提供されている。しかしTeamsのAPIを使って会議の招待を操作し、デフォルトリンクを悪意あるリンクに交換できることが判明した。これはさまざまなサイバー攻撃に悪用される可能性が高い。

　Proofpointは上記の攻撃に対して以下の防御策を推奨している。

• Teamsを利用する際にこれらリスクが存在することをユーザーに対して教育する
• クラウド環境においてサイバー攻撃者がTeamsにアクセスした段階で突き止める
• Teamsに埋め込まれたリンクによって開始された悪意あるセッションを隔離する
• Teamsの使用状況を確認し、定期的に標的型攻撃を受けている場合はクラウド環境における利用制限を検討する
• Teamsのサービスは可能な限り内部のみに限定し、他の組織との通信にさらされないようにアクセスを制限する