これまで、悪意のある電子メールは、ハッカーが企業ネットワークをマルウェアに感染させる一般的な方法でした。今日、ますます多くの企業が内部コミュニケーションにMicrosoftTeamsのようなコラボレーションツールを使用しています。
さらに、これらのツールは、COVID-19のパンデミックの際に、企業がリモートで作業するためにますます使用されています。
現在、攻撃者はこのツール(およびその他)の可能性に気づき、マルウェアを拡散するためにそれを使用しています。従業員がこれらのチャネルを通じて嫌がらせを受けることを期待することはめったにないため、通常よりも慎重になる傾向があり、簡単に標的にされます。
このブログ投稿では、攻撃者がこれらの脆弱性を悪用する方法と、ユーザーが自分自身と組織をそのような攻撃から保護するためにできることについて説明しています。
彼らはどのように攻撃しますか
Microsoft365製品ファミリの一部であるコラボレーションプラットフォームであるMicrosoftTeamsを使用すると、ユーザーは音声およびビデオ会議を実施したり、複数のチャネル間でチャットしたり、ファイルを共有したりできます。
世界中の多くの企業が、このパンデミックの間、リモートの従業員コラボレーションのための主要なツールとしてMicrosoftTeamsを使用しています。
ユーザーのシステムにマルウェアを注入するために使用される可能性のあるチャネルチャットの既知の脆弱性はありません。ただし、悪意のある目的に使用できる既存の方法があります。
Microsoft Teamsでは、ファイルサイズが100 MB未満である限り、ファイル共有が許可されています。攻撃者は任意のファイルをMicrosoftTeamsの任意の公開チャネルにアップロードでき、そのチャネルにアクセスできる人は誰でもそのファイルをアップロードできます。
サイバーセキュリティの観点からは、これは金鉱のように聞こえます。どのチームチャネルからでも、機密情報や知的財産を含むすべての会話や情報にアクセスできます。
チームでは、機密性の高い情報や知的財産が含まれている可能性のある複数のチャネルにわたるすべての会話にアクセスできるためです。また、ユーザーが共有する機密ファイルが含まれている場合もあります。
ただし、金銭的に動機付けられたサイバー犯罪者は、チーム内で興味深いデータを収集できるため、チームから利益を得ることができます。これにより、クレジットカード情報の取得など、より多くの詐欺を犯す可能性があります。
攻撃者は、悪意のあるリンクを含むスピアフィッシングメールから始めると報告されています。を使用している組織のメンバーがクリックした場合。
攻撃者が企業のエンタープライズリソースプランニングシステムにアクセスしようとした場合、アクセスに必要なのは、従業員の1人の有効な資格情報だけです。このような資格情報を取得する通常の方法は、ターゲット組織のユーザーに対してフィッシングキャンペーンを実行することです。
攻撃者は、被害者の電子メールアカウントにアクセスすることで、Microsoft Teamsを介してログインし、ユーザーが他のソースからドキュメントをインポートできる機能を使用できます。
攻撃者は、悪意のあるJavaScriptを含むHTMLドキュメントをダウンロードし、それにアクセスできる他の従業員が開いたときに実行される別のドキュメントにリンクすることができます。
初期アクセスブローカーから有効な資格情報を購入するか、ソーシャルエンジニアリングを介して、ユーザーに対して攻撃を実行することもできます。
Teamsを介して感染したユーザー
攻撃者は、従業員、顧客、およびパートナー間のすべての機密通信チャネルに直接アクセスできます。さらに、攻撃者はプライベートチャットを読んだり操作したりすることもできます。
攻撃は、請求書ドキュメントの画像を含む悪意のある電子メールの形で実行されます。この画像には、肉眼では見えないがクリックするとアクティブになる悪意のあるハイパーリンクが含まれています。
Microsoft Teamsは、何千もの攻撃にさらされることがあります。攻撃者は、悪意のある実行可能ファイルをさまざまなチームの会話にドロップします。これらのファイルはトロイの木馬であり、コンピュータシステムに非常に害を及ぼす可能性があります。
ファイルがコンピュータにインストールされると、コンピュータが乗っ取られて、意図しないことを実行する可能性があります。
攻撃者の最終的な目標が何であるかはわかりません。私たちは、彼らが彼らのターゲットについてのより多くの情報、またはターゲットネットワーク上のコンピュータへのフルアクセスを望んでいると疑うことができるだけです。
この知識により、彼らはある種の金融詐欺やサイバースパイを実行できる可能性があります。
リンクが見つかりません
Microsoft Teamsを脆弱にしているのは、そのインフラストラクチャがセキュリティを念頭に置いて構築されていないことです。したがって、悪意のあるリンク検出システムはなく、一般的なウイルス検出エンジンしかありません。
ユーザーは会社が提供するプラットフォーム上にあるものを信頼する傾向があるため、マルウェアの共有や感染に対して脆弱になる可能性があります。
驚くべきレベルの信頼により、ユーザーは新しいプラットフォームを使用するときに安心できます。ユーザーは、通常よりもはるかに寛大なデータを使用できます。
攻撃者は、チャットチャネルに感染ファイルやリンクを投稿することで人をだますだけでなく、ユーザーにプライベートメッセージを送信して、ソーシャルエンジニアリングスキルでだまします。
ほとんどのユーザーは、ファイルを開く前に、ファイルをハードドライブに保存したり、ウイルス対策製品や脅威検出製品を実行したりすることを気にしません。
この種の活動に従事する組織が増えるにつれ、毎日のサイバー攻撃の数は増え続けるでしょう。
防衛計画
まず、ユーザーは自分の電子メールアドレス、ユーザー名、およびパスワードを保護するための予防措置を講じる必要があります。
チーム構造の脅威を排除するために、次のことをお勧めします。
- チームに使用するMicrosoftアカウントの2段階認証プロセスをオンにします。
- ファイルをTeamsフォルダーにドラッグする場合は、それらのファイルのセキュリティを強化してください。ハッシュをVirusTotalに送信して、悪意のあるコードでないことを確認します。
- Teamsで共有されるリンクにセキュリティを追加し、信頼できるリンクチェックサービスを使用してください。
- プラットフォームを使用して情報を伝達および共有することに関連するリスクを従業員が認識していることを確認してください。
あなたの組織はMicrosoftTeamsを使用していますか?プラットフォームでサイバー攻撃を経験した人はいますか?コメントセクションであなたの意見を共有してください。
コメントを残す