速攻で「Microsoft 365」アカウント乗っ取り完了　その卑劣な手口とは？：726th Lap

言わずと知れたクラウド型オフィススイート「Microsoft 365」。そのアカウントがあっという間に乗っ取られ、攻撃者のやりたい放題になってしまう手口が見つかった。

» 2023年09月08日 07時00分公開

[キーマンズネット]

　サプライチェーン攻撃が多発し、被害が後を絶たない。セキュリティが手薄な中小企業を攻撃し、それを足掛かりとしてターゲット企業に侵入しようという策略だ。

　こうして油断が許されない状況の中で、またサイバー攻撃の新たな一手が明らかになった。これにまんまと引っ掛かると「Microsoft 365」アカウントが乗っ取られ、攻撃者のやりたい放題になるという。その卑劣なやり口とは？

　問題のサイバー攻撃は中小企業をターゲットにしたもので、正規のテクニカルサポートと見せかけてフィッシング攻撃を仕掛け、重要情報を盗み出そうとする。しかも、Microsoftのサポートチームになりすました攻撃だというからタチが悪い。Microsoftのテクニカルサポートと聞くと、ウッカリしていなくてもだまされてしまいそうだ。

　この件について、2023年8月2日にMicrosoftが自社ブログで報告し、それを受けて『Reuter』などのメディアが報道したことで話が広がった。

　記事によると、問題のサイバー攻撃を実行したのはロシアのハッキング集団「Midnight Blizzard」だという。「APT29」や「NOBELIUM」「Cozy Bear」などの異名を持ち、ロシアの諜報部的な組織として知られる。ロシア対外情報庁（SVR）と直接の関わりがあるとも言われている。

　手口は次の通りだ。まず、過去に流出した中小企業のアカウントを悪用して「microsoft」の文字列が含まれたドメインを作成する。それらしいURLやアカウントで相手をだますためだ。そして、あたかも自分たちがMicrosoftのテクニカルサポートであるようなメッセージを「Microsoft Teams」（以下、Teams）で送る。オンライン会議やチャットの利用機会が増えた今、Teamsを使った攻撃はさぞ効果的だろう。

　正規のサポートだと思って相談しようとすると、多要素認証プロンプトが実行される。サポートを受けようと思ってこの実行を許してしまうと、攻撃者はMicrosoftのユーザーとして認証され、そのユーザーのMicrosoft 365アカウントに自由にアクセスできるようになる。そして、攻撃者はメールやTeamsを使ったなりすまし行為などがやりたい放題になる。

　Microsoftのブログによれば、この攻撃は2023年5月下旬に始まり、政府機関や非政府組織、IT企業やメディア企業など、約40社の中小企業が被害を受けたという。すでにMicrosoftは攻撃の対象となった企業に対して通知を送り、攻撃者が悪用したドメインの使用を抑制するなどの対応をとっている。そして、もちろん今後もハッキング集団の動向を監視して、これ以上、被害が広がらないよう努力するとのことだ。