Microsoft Teamsを通じたヘルプデスクなりすまし攻撃が、新たなフェーズに入った。Google傘下のセキュリティ機関Mandiantは、脅威グループ「UNC6692」が独自開発のマルウェアスイート「Snow」を用いた標的型攻撃を展開していることを報告した。メール爆撃→Teamsなりすまし→マルウェア展開→Active Directory奪取という一連の攻撃チェーンは、組織の信頼構造そのものを武器に使う。

攻撃の全体像——4段階で組織を内側から崩す

攻撃は「メール爆撃(email bombing)」から始まる。標的に大量のスパムメールを送りつけて混乱させ、「スパムをブロックするパッチがある、サポートに連絡を」という心理的誘導を作り出す。そこに現れるのが、Microsoft Teams上でIT担当者を装った攻撃者だ。

被害者はパッチのインストールリンクをクリックするよう誘導される。実際に実行されるのはドロッパーであり、AutoHotkeyスクリプト経由で悪意あるChromeエクステンション「SnowBelt」がロードされる。この拡張はヘッドレスのMicrosoft Edgeインスタンス上で動作するため、被害者の画面には何も表示されない。同時にスケジュールタスクとスタートアップフォルダへのショートカットが作成され、再起動後も継続する。

Snowスイートの3層構造

「Snow」は互いに連携する3つのコンポーネントで構成されている。

SnowBelt(Chromeエクステンション): 持続性の確保と、オペレーターからのコマンドをバックドアへ中継する役割を担う。

SnowGlaze(トンネラー): WebSocketトンネルを確立してC2(コマンド&コントロール)インフラとの通信を隠蔽する。さらにSOCKSプロキシ機能により、感染ホストを経由した任意のTCPトラフィックのルーティングも可能にする。

SnowBasin(Pythonバックドア): ローカルHTTPサーバーを起動し、CMDまたはPowerShellコマンドを実行する。リモートシェルアクセス、データ窃取、スクリーンショット取得、ファイル管理、さらに自己消滅コマンドをサポートする。

侵害後の動き——Active Directoryの完全掌握へ

マルウェア展開後、攻撃者はSMBやRDPをスキャンして内部偵察を開始する。LSASS(Local Security Authority Subsystem Service)メモリのダンプで認証情報を抜き出し、パス・ザ・ハッシュ(Pass-the-Hash)で横移動を実行、最終的にドメインコントローラーへ到達する。

侵害の締めくくりとして、フォレンジックツール「FTK Imager」を使ってActive Directoryデータベース(NTDS.dit)とSYSTEM/SAM/SECURITYレジストリハイブを抽出。これによりドメイン全体の認証情報が攻撃者の手に渡る。

実務への影響——日本のIT管理者が今すぐ確認すべき5点

この攻撃が厄介なのは、Teamsという正規のコミュニケーション基盤を入り口として使う点だ。「知らない番号からの電話」なら警戒できるが、日常的に使うTeamsのチャットは心理的な防衛が薄れやすい。

  • Teamsの外部アクセスポリシー見直し: 外部組織・未管理デバイスからのTeamsチャット要求を制限する。テナント設定で外部ドメインのアクセスを許可リスト管理に切り替える
  • Quick Assist・リモートアクセスツールの制御: Intuneまたはグループポリシーで、IT部門承認のない遠隔操作ツールの実行をブロックする
  • LSASS保護の強化: Windows Credential GuardおよびLSASS Protected Process Light(PPL)を有効化する
  • IoCs・YARAルールの展開: Mandiantが公開しているインジケーターをSIEMおよびEDRに投入して検知ルールを更新する
  • 特権アカウントのJust-In-Time管理: 常時付与されたドメイン管理者権限は、侵害時の被害を指数的に拡大する。Microsoft Entra Privileged Identity Management(PIM)を活用した時限付き昇格に切り替えることを強く推奨する

筆者の見解

今回の攻撃が示しているのは、「信頼されているもの」が最も危険な攻撃ベクターになるという現実だ。Teamsは組織のコミュニケーション基盤として深く根付いており、だからこそ攻撃者にとって「最も疑われにくい入り口」になっている。

ゼロトラストの文脈では、これは教科書通りの事例だ。「社内ツールだから安全」「IT担当者からの連絡だから信頼できる」という前提が崩れたとき、ネットワーク境界だけを守る従来型のモデルはほぼ無力になる。認証・認可・デバイス状態を常時検証する構えがなければ、この手口を正面から止めることはできない。

LSASSダンプからのパス・ザ・ハッシュ、FTK Imagerによるドメインデータベース抽出——どれも既知の技術だ。それでもこの攻撃が成立するのは、多くの組織でいまだ「特権アカウントが常時使える状態」になっているからだ。Just-In-Timeアクセスと最小権限の徹底だけで、侵害後の横展開は大幅に制限できる。

MicrosoftはTeamsのセキュリティ強化を継続しており、今回のような手口を自ら積極的に警告していることは評価したい。防御オプションをもっとデフォルトで安全側に倒してくれれば、それだけで救われる組織が相当数ある。設定を知っている管理者だけが守られる状況は、そろそろ卒業してほしいところだ。

出典: この記事は Threat actor uses Microsoft Teams to deploy new “Snow” malware の内容をもとに、筆者の見解を加えて独自に執筆したものです。