Microsoftは8月2日(米国時間)「Midnight Blizzard conducts targeted social engineering over Microsoft Teams|Microsoft Security Blog」において、Midnight Blizzardと呼ばれる脅威者による、Microsoft Teamsのチャットを悪用したソーシャルエンジニアリング攻撃を確認したとして、注意を呼び掛けました。
Midnight BlizzardはAPT29などの別名でも追跡されるロシアを拠点とする脅威者で、ロシア対外情報庁に帰属するとされています。主に米国とヨーロッパ各国の政府、外交機関、非政府組織およびIT関連企業を標的にしていることが知られています。
Microsoftによると、今回確認された攻撃は過去に侵害した中小企業のMicrosoft 365テナントを悪用してMicrosoftの正規のドメインであるonmicrosoft.comのサブドメインを作成することから始まっているということです。脅威者は作成したサブドメインに関連したユーザーを作成し、このユーザーでMicrosoft Termsを使って標的のテナントへメッセージを送信します。このメッセージは正規のonmicrosoft.comのサブドメインから送信されるため、受信したユーザーはだまされる可能性が高くなるということです。
ソーシャルエンジニアリング攻撃に対して重要な防衛策はユーザー教育とされています。攻撃手順などを例示し、体験させて同様の事態に置かれたときに自信をもって対応できるように訓練することが望まれます。
コメント