Teamsの会話の中に差し込まれるexeファイル
在宅勤務の比率が高い状態が続いています。
仕事を進める中の多くの場面で社内連絡を必要とすることがあります。
従来から社内連絡のためのチャットツールはよく使われていますが、その利用頻度は高まっているでしょうし重要性は上がっていることと思います。
そんななか、Teamsの会話の中にexeファイルを投稿する攻撃が観測されています。
こんな風に進みます。
- 攻撃者は何らかの方法でTeamsアカウントの資格情報を取得する
具体的には方法が確認されていませんが、フィッシングや関連企業での侵害などによって資格情報を取得している可能性があります。 - 攻撃者はTeamsにログインする
- 攻撃者は会話中に、「UserCentric[.]exe」を添付する
- Teamsの利用者がそのexeをクリックする
- exeは実行され、パソコンは侵害される
exeの実行により、悪意のあるDLLがダウンロードされます。
永続化の仕掛けも設置します。
どうしてこんな風になってしまうのでしょう。
セキュリティ製品によるchatツールの中でやり取りされる通信内容のチェックが十分ではないということがあるのかもしれません。
chatツールが安全であるという前提が利用者の気持ちの中にあることが原因の一つかもしれません。
コンピュータシステムの安全は、いろいろな仕組みが意図した状態に進んでいるということを前提として成り立っているという側面があります。
セキュリティ担当者が一人で頑張っても安全な状態は維持できません。
システム利用者のそれぞれが、前提条件としての日々の活動を継続していく必要があります。
運用にほころびがあった時、そこが狙われることになりそうです。
シンプルですが対策としては、身に覚えのないファイルは触らない、パッチはタイムリーに適用する、ということでしょうか。
参考記事(外部リンク):Hackers Attach Malicious .exe Files to Teams Conversations
www.avanan.com/blog/hackers-attach-malicious-.exe-files-to-teams-conversations
