M365やTeamsを使ったランサムウェア攻撃に注意 最新手法を解説：セキュリティニュースアラート

Sophosは、Microsoft 365を悪用したランサムウェアキャンペーンが展開されていると警告した。これらのキャンペーンではTeamsのメッセージや通話機能が悪用されていることが判明した。

[後藤大地，有限会社オングス]

　Sophosは2025年1月21日（現地時間）、「Microsoft 365」を悪用した2つのランサムウェアキャンペーンに関する調査結果を発表した。

　調査によると、このキャンペーンは「STAC5143」および「STAC5777」の2つの脅威アクターが実行しているものだという。いずれも攻撃の一環としてMicrosoft 365サービスのテナントを独自に運用し、外部ドメインのユーザーが内部ユーザーとチャットやミーティングをするために「Microsoft Teams」のデフォルト設定を利用している。

Microsoft 365を使いこなす攻撃者に要注意　最新手法を学び対策しよう

　STAC5777はMicrosoftが以前、「Storm-1811」として特定した脅威グループと重複している。また、STAC5143はStorm-1811と同様の戦術を使用しながらも新たに発見された脅威クラスタと分析されている。STAC5143はFIN7（別名Sangria Tempest、Carbon Spider）として知られている脅威アクターと関連している可能性がある。

　過去3カ月間でこれらの戦術に関連したインシデントは15件以上確認されており、そのうちの半数は過去2週間に発生している。よく使われる戦術としては、電子メール爆弾（短時間に数千通ものスパムメールを送り、「Microsoft Outlook」のメールボックスを圧迫して危機感を煽る攻撃）がある。

　この他、攻撃者がMicrosoft 365を利用して組織のテクニカルサポートを装い、Microsoft Teamsのメッセージや通話で標的に接触する手法や、Microsoftのリモートコントロールツールを使って標的のPCを操作してマルウェアをインストールする手口が確認されている。

　STAC5143はMicrosoft Teamsのリモートコントロール機能を悪用し、Javaアーカイブ（JAR）を使用してPythonベースのバックドアを展開する手法を採用している。一方、STAC5777はMicrosoftの「Quick Assist」機能によって標的のデバイスに侵入し、ランサムウェア「Black Basta」を展開している。

　Sophosは組織に対してMicrosoft 365のサービス規定を活用し、外部からのMicrosoft Teamsの通話を制限することや、Quick Assistなどのリモートアクセスアプリをポリシーで制御することを推奨している。また、従業員に対して正規のテクニカルサポートの認識や危機感を煽るソーシャルエンジニアリング攻撃の手口に注意を払うなど、セキュリティ意識を向上させるよう助言している。