主なポイント
プルーフポイントのリサーチャーは、Microsoft Teamsを効果的に悪用する以下の新しい攻撃手法を発見しました:
- アカウント侵害後のなりすましと操作テクニック
- フィッシングのためのタブの使用
- タブを使ったマルウェアの即時ダウンロード
- デフォルトのURLを悪意のあるリンクに置き換えることで、会議の招待状を武器化
- 既存のURLを悪意のあるリンクに置き換えることで、メッセージを武器化
概要
マイクロソフトは、多くの組織や企業にとって主要な業務効率のパートナーです。これらの組織は、Microsoft Office製品群を、日々のクラウドエコシステムのニーズに対する信頼できる基盤として、広く知られています。しかし、プルーフポイントが過去に示したように、このクラウドへの移行は、新しい種類の脅威をもたらすものでもあります。
今日、攻撃者はクラウド環境やサービスに狙いを定め、既存のセキュリティ上の欠陥や脆弱性をさまざまな悪意のある目的のために活用しようとしています。私たちは、このような傾向について広く発表し、攻撃者がマイクロソフトのサービスを攻撃に利用していることを示し、攻撃者がセキュリティ対策を回避しながらマイクロソフトSwayを効果的に武器化できる方法を公開しました。攻撃者に狙われ、悪用されているアプリは、Swayだけではありません。
プルーフポイントの脅威リサーチャーは、2022年下半期を通じて検出された、Microsoft 365クラウドテナントを標的とした4億5000万以上の悪質なセッションを分析しました。調査結果によると、Microsoft Teamsは最も標的とされた10個のサインインアプリケーションの1つであり、標的とされた組織の40%近くが少なくとも1回の不正なログイン試行がおこなわれていました。
図1 2022年後半に最もターゲットとなるサインインアプリのトップ10
本ブログでは、最も人気のある(そして最も狙われている)ネイティブクラウドアプリケーションの1つであるMicrosoft Teamsを悪用するための複数の方法を明らかにします。これらの手法により、攻撃者はOffice 365の認証情報を窃取するクレデンシャル フィッシングを効果的に実行し、悪意のある実行ファイルを配信し、侵害されたクラウド環境内での足場を拡大することができます。
デフォルトのタブの仕組みを悪用
Microsoft Teamsプラットフォームは、Teamsチャンネルまたはチャットを通じて、個人およびグループのメッセージ機能を提供しています。各チャネルやチャットには、異なるアプリケーションによって作成された追加のタブを含めることができます。個人チャットやグループチャットに表示されるデフォルトのタブの例として、SharePointやOneDriveに関連する「ファイル」タブが挙げられます(図2)。タブの操作は、アカウントの侵害に続いて、強力でほぼ自動化された攻撃ベクトルの一部となり得ることが分かりました。
通常、ユーザーは、新しい名前が既存のタブの名前と重複しない限り、タブの名前を自由に変更することができます(例:「ファイル」)。また、タブをデフォルトのタブ(例:「ファイル」)より前に配置することは制限されているはずです。
しかし、文書化されていないTeams APIコールを使用して、タブの並び替えや名前の変更を行い、元のタブを新しいカスタムタブと入れ替えることができることが判明しました。
図2 偽の「Files」タブを作成し、元のタブの前に配置する
この一見良さそうな「機能」を攻撃者が利用する方法の1つが、ネイティブアプリの「Webサイト」を利用することで、ユーザーが選んだウェブサイトをTeamsチャネルやチャットの上部にタブとして固定することができます(図3および図4)。
攻撃者は、「Webサイト」インスタンスをタブとして固定した後、タブの名前を操作して、既存のタブの名前に変更し、再配置することができます。効果的にネイティブタブを視界から追い出すことができれば、不正なタブに引っ掛かりやすくなる可能性が高まります。
図3 Teamsチャットに新しいタブを追加する
図4 Teamsで提供される「Webサイト」アプリタブの説明
この新しいタブは、Microsoft 365のサインインページを装ったクレデンシャル フィッシングWebページなど、悪意のあるサイトを指すために使用される可能性があります(図5)。WebサイトのタブのURLは、ユーザーが意図的にタブの「設定」メニューにアクセスしない限り表示されないように設計されているため、攻撃者にとって非常に魅力的なものとなり得ます。
図5 Teamsのユーザーインターフェイスを使用して、悪意のあるWebページを指す新規タブを設定する
ブラウザのセキュリティに関するベストプラクティスでは、URLバーなどの重要な指標をよく確認し、不審なリンクをクリックしないよう教育されていますが、この場合、TeamsにはURLバーが表示されないため、そういった指示はすべて無意味なものになります。そのため、疑うことを知らない被害者は、アクセスしたWebページが実際には悪意のあるものであることに気づきにくいのです。
私たちのシミュレーションが示すように(図6)、上記の危険な機能を組み合わせることで、攻撃者は侵害されたMicrosoft 365環境内に悪意のあるコンテンツを最小限のリスクでシームレスに仕掛けることができるようになります。
図6 - ドキュメント化されていないAPIコールを使用したタブの操作:
(1) 「Webサイト」タブの新規作成
(2) タブ名を「Webサイト」からデフォルトのタブ(「ファイル」)を装うよう変更
(3) 新規タブの位置を元のタブの前に変更
(4) タブのターゲットURLを悪意のある違法なウェブページを参照するように変更
しかし、これだけではありません。同じメカニズムを簡単に悪用するもう一つの方法は、Webサイトタブを使用してファイルを指定することです。これにより、Teams(デスクトップまたはWebクライアント)が自動的にユーザーのデバイスにファイルをダウンロードし、被害者の企業デバイスやネットワーク内に悪意のあるドロッパーを設置する可能性があります(図7)。
図7 ドキュメントにないAPIコールを使ったタブ操作のシミュレーション:
偽の「ファイル」タブにリンクされた悪意のあるファイルを自動的にダウンロードする。この場合、新しいタブは、「悪意」のある意図を隠すために、良性のURLを参照しています。
会議への招待状を武器化する
タブだけが、攻撃者によって悪用されるTeamsの機能ではありません。Microsoft Teamsプラットフォームは、ユーザーのカレンダーと同期して、スケジュールされた会議を表示、作成、編集することも可能です。デフォルトでは、Teamsのオンラインミーティングを作成する際、ミーティングの説明文の中にいくつかのリンクが生成され、送信されます(図8)。これらのリンクは、ユーザーがオンラインミーティングに参加したり、Teamsのデスクトップクライアントをダウンロードしたりするためのものです。
図8 Microsoft Teamsの会議招待に含まれるデフォルトのリンク
通常、攻撃者が会議招待の内容を操作するためには、OutlookやMicrosoft Exchangeへのアクセスが必要ですが、攻撃者がユーザーのTeamsアカウントにアクセスすると、Teams APIコールを使用して会議招待を操作し、良質のデフォルトリンクを悪意のあるものと交換することができます。
図9のシミュレーションに示すように、高度な攻撃者は、会議の招待状内のデフォルトリンクを自動的に変更し、組織内外のユーザーをフィッシングページやマルウェアホスティングサイトに誘導し、チームインストールファイルを装ったマルウェアを即時にダウンロードさせることができます。
図9 悪意のあるWebページを参照する悪意のあるURLが隠された会議招待状が作成されるシミュレーション
メッセージのハイパーリンクを武器化する
ユーザーのTeamsトークンにアクセスできる場合、攻撃者はTeamsのAPIまたはユーザーインターフェースを使用して、送信メッセージ内の既存のリンクを武器化することができます。これは、良質のリンクを、悪意のあるウェブサイトや悪意のあるリソースを指すリンクに置き換えるだけでおこなうことができます。このシナリオでは、背後にあるURLが変更されても、表示されるハイパーリンクは変更されません(図10)。
Teams APIでは、プライベートまたはグループチャットメッセージに含まれるリンクを迅速かつ自動的に列挙・編集できるため、攻撃者が実行するシンプルなスクリプトを使えば、数秒以内に無数のURLを武器化することができます。その後、洗練された攻撃者がソーシャルエンジニアリングの技術を利用して新しいメッセージを送信し、疑うことを知らないユーザーに、編集され、今や兵器となったリンクをクリック(または「再訪問」)するように促すかもしれません。
図10 Teams APIを使用した、メッセージ内の既存リンクの自動列挙と操作のシミュレーション例
潜在的な影響
このブログに記載した悪用方法は、侵害されたユーザーアカウントまたはTeamsトークンへの既存のアクセスを必要とすることに留意することが重要です。とはいえ、2022年には、Microsoft 365のテナントの約60%が、少なくとも1件のアカウントを乗っ取られるインシデントを経験しています。したがって、これらの方法は、攻撃者に侵害後のラテラルムーブメントの有効な可能性を提供することになります。
クラウドの脅威をめぐる過去の攻撃事例と現在進行中の傾向を分析した結果、攻撃者はより高度な攻撃ベクトルに移行していることがわかりました。新しい攻撃手法やツールの採用は、アプリが持つ機能に潜む明白なセキュリティ欠陥と組み合わさることで、組織をさまざまな重大なリスクにさらしています。
組織を守るための推奨策
Microsoft Teamsを利用したフィッシングやマルウェアのリスクから組織を守るための方法は以下の通りです:
- セキュリティ意識向上: Microsoft Teamsを使用する際に、これらのリスクを認識するようユーザーを教育する。
- クラウドセキュリティ: クラウド環境内でTeamsにアクセスする攻撃者を特定します。そのためには、初期のアカウント侵害を正確かつタイムリーに検出し、影響を受けるサインインアプリケーションを可視化する必要があります。
- Webセキュリティ: Teamsのメッセージに埋め込まれたリンクによって開始された悪意のあるセッションを隔離します。
- Microsoft Teamsの使用状況を確認する: 定期的に標的型攻撃を受けている場合は、クラウド環境におけるMicrosoft Teamsの利用を制限することを検討します。
- アクセスを制限する: Teamsのサービスは、可能な限り内部のみに限定し、他の組織との通信にさらされないようにする。
攻撃者は、ユーザーの認証情報を盗み出し、ユーザーのアカウントにアクセスするための新しい方法を常に模索しています。このブログが示すように、Microsoft Teamsは、人気のあるクラウドアプリケーションであるため、さまざまな形態のクラウド攻撃のプラットフォームとして利用される可能性があります。
クラウドアプリを保護し、安全なクラウド環境を構築するための支援方法については、プルーフポイントにお問い合わせください。
プルーフポイントによる今回の調査結果の公開を受け、マイクロソフトは以下のガイダンスを発表しています: "マイクロソフトは、ユーザーがMicrosoft Teamsにおけるセキュリティのベストプラクティスを遵守し、ゼロトラストセキュリティモデルの採用や、セキュリティアップデート、アンチウイルスアップデート、認証を管理する堅牢な戦略の採用など、セキュリティとデータ保護に関する業界標準のベストプラクティスを採用するよう推奨しています。Zero Trust Securityの詳細については、https://aka.ms/zerotrust. を参照してください。"
●あわせて読みたい