Teams APIを悪用する新たなサイバー攻撃手法が見つかる フィッシングなど可能に
日本プルーフポイントはTeamsを悪用した新しいフィッシング詐欺やマルウェア攻撃手法を発見した。未文書化APIが任意のWebページを追加できる仕組みを悪用することで、セキュリティリスクが生じる可能性がある。
日本プルーフポイントは2023年6月9日、「Microsoft Teams」(以下、Teams)を悪用してフィッシング詐欺やマルウェア攻撃を実行する手法を発見した。
Teamsの未文書化APIがもたらすセキュリティリスク
日本プルーフポイントは、Teamsのタブが文書化されていないTeams APIで操作が可能である点に言及した。この仕組みを悪用することで任意のWebページをTeamsのタブとして追加できるようになり、フィッシング詐欺やマルウェア攻撃を仕掛けられるようになる。
Teamsのタブは配置や名前などに制限があり、任意で追加されたものかデフォルトのものどうかは一見して判断できる。しかし、この文書化されていないTeams APIを利用すると任意の場所に任意の名前で任意のWebページを追加できる。そのため、ここに「Microsoft 365」のサインインを装った偽のWebページなど悪意のあるリンクを追加すればアカウントの窃取が可能になる。
その他、日本プルーフポイントは上記の仕組みについてURLだけでなくファイルに対しても有効であると指摘した。これを利用するとマルウェアをダウンロードさせることが可能になり、感染のリスクがあるとされている。
サイバー攻撃対策においてはURLをよく確認することが推奨される。だがTeamsにおいて、WebサイトのタブのURLは、ユーザーが意図的にタブの「設定」メニューにアクセスしない限り表示されないように設計されているため、サイバー攻撃者にとっては非常に魅力的だ。
日本プルーフポイントは、この攻撃手法を利用したサイバー攻撃の被害に遭わないために、Teamsを利用する際にはこうしたリスクの存在を周知することやTeamsの使用状況を確認すること、Teamsのサービスを可能な限り内部での使用に限定して外部組織との通信に使われないようにアクセス制限をかけることなどをアドバイスしている。
関連記事
- Teamsを標的にした新たなサイバー攻撃が見つかる 悪意あるWebページなどに誘導
ProofpointはMicrosoft Teamsを狙った新たなサイバー攻撃手法を発見した。文書化されていないAPIを利用することで、タブの配置や名前を操作し、任意のWebサイトをタブとして追加したり、その他のサイバー攻撃が可能になったりする。 - 活動再開したEmotetの新たな警告回避手法 Proofpointが効果を考察
Proofpointは2022年11月に活動が再度活発になったEmotetの動向について幾つかの情報アップデートを公開した。Emotetの活動状況や新たな警告回避の手法などについて考察している。 - VBAマクロ無効化が効果絶大 サイバー犯罪者の攻撃手法に起きた“大きな変化”とは?
Microsoftは2022年2月、Microsoft OfficeにおけるVBAマクロのデフォルト無効化の方針を発表した。Proofpointによれば、この取り組みはサイバー犯罪者の攻撃手法に大きな変化をもたらしたという。 - Emotetが新しい感染手法をテスト中? MicrosoftのVBAブロック措置に対抗か
Proofpointは、Emotetが新しい感染方法を模索している可能性があると指摘した。少数のユーザーを標的にした試験的な攻撃が観測されており、今後広範囲にキャンペーンが展開される可能性があり注意が必要だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.