今まで、フィッシング・標的型攻撃メール・ビジネスメール詐欺（BEC）対策を検討する際、業務用メールアドレスに届くことを想定していました。しかし、攻撃者はより多様な攻撃手段を利用することで、組織に対する新しい脅威が出現しています。

新型コロナウイルス感染症の世界的流行により、多くの企業がリモートワークを導入しました。効率的に業務を続けるため、Microsoft Teamsなどグループの利用が爆発的に増加しました。このソフトウェアが非常に便利で、ユーザから信頼されていますが、本当に安全なのでしょうか。

非常に残念ながら、業界大手のMicrosoft Teamsには既に攻撃手段として悪用可能と報告されています。

Proofpoint社 – Microsoft Teamsを用いてフィッシングやマルウェア攻撃を実行する方法
https://www.proofpoint.com/jp/blog/threat-insight/dangerous-functionalities-in-microsoft-teams-enable-phishing

▪ Proofpointの研究者は、Microsoft Teamsを使用したフィッシングやマルウェア攻撃の方法を発見しました。これには、アカウントのなりすまし、悪意のあるタブの使用、会議招待状の悪用などが含まれます。
▪ 攻撃者は、TeamsのデフォルトタブやURLを利用して、欺瞞的なインターフェースを作成し、マルウェアをダウンロードさせます。APIを操作して正規のタブやリンクを置き換えることができます。
▪ 例として、攻撃者が侵害されたアカウントを使って同僚に悪意のあるTeamsタブリンクを送信し、クリックするとマルウェアがダウンロードされるケースがあります。また、フィッシングリンクを埋め込んだ偽の会議招待状を作成する例もあります。

上記を踏まえ、「Storm-0324」という攻撃者も実際にMicrosoft Teams経由で攻撃を広めたことがあります。

Microsoft Security – Malware distributor Storm-0324 facilitates ransomware access（英語）
https://www.microsoft.com/en-us/security/blog/2023/09/12/malware-distributor-storm-0324-facilitates-ransomware-access/

▪ 「Storm-0324」は、フィッシングや悪意のあるソフトを使って他の犯罪者を助けるグループです。
▪ 2023年7月、「Storm-0324」はMicrosoft Teamsを利用してフィッシング誘導を送信し、JSSLoaderという悪意あるソフトウェアを配布する戦術を拡大しました。
▪ セキュリティの強化には、フィッシング対策認証の使用、資格情報の管理、総合的なセキュリティ対策を取り入れることが重要です。

現時点では、日本の組織に向けたMicrosoft Teams経由の攻撃による被害は報告されていませんが、今後の脅威として認識し、事前に対策を取る必要があります。

ユーザとしてグループウェア経由のフィッシング攻撃に遭わないためのチェックポイント！

1. 外部ユーザ・ゲストユーザからのメッセージには十分注意：
外部ユーザやゲストユーザからのメッセージには特に注意を払い、不審なリンクや添付ファイルが含まれていないか確認しましょう。

2. 信頼できるユーザからのものであっても、異常なリクエストには警戒：
信頼できるユーザからのメッセージでも、通常とは異なるリクエストや内容が含まれている場合は、慎重に対応するようにしましょう。

3. プラグインや拡張機能をインストールする際には特に注意：
プラグインや拡張機能をインストールする際は、その信頼性を確認し、公式のストアや信頼できる提供元からのみインストールするようにしましょう。

4. 普通に見える会議招待やリクエストに含まれているリンクも再確認：
見慣れた会議招待やリクエストに含まれているリンクでも、クリックする前にリンクの正当性を再確認してください。

5. 迷う場合、プラットフォーム外で関連する当事者に確認：
不審なメッセージやリクエストを受け取った場合、プラットフォーム外でその当事者に連絡を取り、内容の正当性を確認するようにしてください。

管理者として社内のグループウェアのセキュリティ向上には？

コミュニケーション手段をフィッシング（もしくはソーシャルエンジニアリング系の攻撃）から防衛することは困難ですが、icrosoft Teamsの脆弱性を減少させるためにいくつかの対策があります。

1. プラグインおよび拡張機能のインストール制限：
ユーザが事前に承認されたプラグインしかインストールできないようにするか、承認されていないプラグインをインストールするには申請を求めることを推奨します。

2. 外部ユーザ・ゲストユーザのアカウント制限：
外部ユーザ・ゲストユーザの使用状況を監視し、必要のないアカウントがプラットフォーム上に存在していないことを定期的に確認しましょう。

3. サインインには多要素認証を強制：
グループウェアにサインインする際には、多要素認証を必須にすると、ユーザの認証情報が不正に取得されるリスクを低減できます。

4. ソフトウェアアップデートの最新化：
グループウェアを最新に保ち、新しい脆弱性から保護するために、新しい更新やパッチを速やかにインストールするようユーザに促してください。

5. 機密情報の共有を制限：
グループウェア上での機密情報の共有を制限する設定に調整し、ログを取得して監視することで、疑わしい行動を検出できるようにしましょう。

具体的な対策

フィッシング攻撃はメールだけでなく、Microsoft Teamsをはじめとする多様な攻撃手段からも行われます。フィッシング攻撃から組織を守るためには、適切な対策を講じる必要があります。
このような攻撃から身を守るための効果的な手段の一つが、フィッシングシミュレーションの実施です。フィッシングシミュレーションにより従業員はフィッシングメールを見極め、実際の攻撃に似せた練習メールを通じて、適切な対応方法（例えば、適切な部署への迅速な報告）を身に付けることができます。
神戸デジタル・ラボが提供するSelphish（セルフィッシュ）は、フィッシングシミュレーションを初めて導入する組織でも容易に取り組めるよう、直感的な操作が可能な管理画面のUI/UXに特化して開発されています。さらに、高度なカスタマイズ性も併せ持ち、訓練メールの文面や差出人アドレスの変更を無料で柔軟に行えます。

まとめ

フィッシング詐欺は、個人だけでなく法人にとっても看過できないリスクをもたらします。Selphishのメール訓練サービスを利用することで、従業員をフィッシングの脅威から守り、組織全体のセキュリティ意識を高めることが推奨されます。実践的な訓練を通じて、従業員はフィッシング攻撃を見破り、適切に対処する能力を身につけることができます。