スウェーデンを拠点とするセキュリティ企業のTruesecの研究者は、外部のMicrosoft Teamsのメッセージを介してマルウェア「DarkGate Loader」を配信するフィッシングキャンペーンを追跡しています。
Truesecの研究者は以下のように報告しています。「8月29日のUTC 11:25から12:25の時間帯に、Microsoft Teamsのチャットメッセージが、キャンペーンの前にすでに侵害されていた2つの外部のOffice 365アカウントから送信されました。このメッセージは、受信者にソーシャルエンジニアリングを仕掛ける内容となっており、悪意のあるリモートのファイルをダウンロードさせ、開かせることを目的としていました。
このフィッシングメッセージは、従業員の休暇予定の変更に関する人事部からのメッセージを装っていました。受信者は添付されたZIPファイルを開いて、自分の休暇の予定がキャンセルされたかどうかを確認するように求められました。
このメッセージ本文の原文は以下のようなももです。
Dear Colleagues, I regretfully have to inform you about unplanned changes in the vacation schedule due to unforeseen circumstances. As a result of a force majeure situation that we had to take into account, we have had to cancel the vacations of certain employees. I understand that such changes might impact your plans, and I apologize for any inconvenience this may cause.
これを、ChatGPTで翻訳してもらうと、
「同僚の皆様へ、
お世話になっております。突然のご連絡となりますが、予測不可能な事情により、休暇スケジュールに予定外の変更が生じることをお知らせ申し上げます。私たちは不可抗力の状況に直面し、特定の従業員の休暇を中止せざるを得なくなりました。これらの変更が皆様の計画に影響を及ぼす可能性があることを理解しており、それによって生じる不便についてはお詫び申し上げます。この決定は慎重に検討され、現状に対処するために必要なものであることをご理解いただきたいと考えております。影響を受ける従業員の方々への影響を最小限に抑えるために最善の努力をいたしますし、状況が許す限り休暇の再スケジュールを進めていきます。この困難な状況に対する皆様の理解と柔軟性に感謝申し上げます。これらの変更に関するご質問や懸念事項がございましたら、人事部にお気軽にお問い合わせいただき、必要な情報とサポートを提供させていただきます。皆様の理解、協力、そしてチームへのご献身に感謝申し上げます。状況の進展に従って皆様にお知らせいたします。 敬具、」
のような、ほぼ完璧な訳文を生成してくれます。
Truesecの研究者は、今回の攻撃について次のように分析しています。
「従業員がセキュリティアウェアネス(意識向上)トレーニングを受けていたために、この攻撃は阻止されました。残念ながら、Microsoft Teamsの現在のセキュリティ機能では、この攻撃を検出またはブロックすることはできません。今のところ、Microsoft Teamsでこの攻撃手法を防ぐ唯一の方法は、特定の外部ドメインからのMicrosoft Teamsチャット要求のみを許可することですが、IT管理者が信頼できるすべての外部ドメインをホワイトリストに登録しなければならず、業務に影響する恐れもあります。」
KnowBe4が提唱するNew Schoolと呼ぶ新しいスタイルのセキュリティアウェアネストレーニングでは、従業員はソーシャルエンジニアリングを特定できるように、本番さながらのフィッシング演習をトレーニング実習と連携して行っています。このフィッシングメールには、いくつかのレッドフラグがあります。まず、匿名の宛先です。次に、不自然な言い回し、例えば、「突然のご連絡となりますが」です。また、人事通達として冗長です。このような、フィッシングメールを見極める様々なテクニックをKnowBe4のセキュリティアウェアネストレーニングは提供してくれます。
この攻撃の詳細については、Truesecのブログ(英文)を参照してください。
原典:Stu Sjouwerman著 2023年9月11日発信 https://blog.knowbe4.com/microsoft-teams-phishing-distributes-malware