Microsoft Teams

Microsoftは、Microsoft 365の管理者に対し、Teams Chatの新しいブランド偽装防止機能が2025年2月中旬までにすべての顧客で利用可能になることを明らかにした。

この機能が有効になると、Teamsの外部アクセス(脅威行為者が外部ドメインから任意のユーザーにメッセージを送信できるようにする)を有効にしている組織を標的としたフィッシング攻撃を検出した際にアラートが表示されるようになる。

同社は2024年10月下旬(Microsoft 365のロードマップにこのイニシアチブを追加した時)に、Teamsブランドのなりすましに対する防御に取り組んでいることを初めて発表し、ほぼ1カ月後の11月中旬にユーザーへの展開を開始した。

当初の予定では1月中旬に一般利用可能になるとされていたが、同社は金曜日に更新されたMicrosoft 365メッセージセンターのアドバイザリーで、2月中旬に完了し、デフォルトで有効になり、管理者の設定は不要になると述べている。

「このロールアウトは、指定された日付までに自動的に行われ、ロールアウト前に管理者の操作は必要ありません。マイクロソフト社は、「関連文書を更新することをお勧めします。「私たちは、新しい高リスクのAccept/Block画面が何を意味するのかについてユーザーを教育し、慎重に行動するようユーザーに注意を喚起することをお勧めします。

国家をスポンサーとする脅威行為者、アクセスブローカーITサポートを装ったランサムウェアのギャングなど、さまざまな脅威行為者がフィッシングやマルウェア 攻撃でブランドになりすますことを利用している。

例えば、Midnight Blizzardとして知られるロシアの国家支援ハッカーは、以前にもマイクロソフトの技術サポートになりすましたTeamsフィッシング攻撃で政府職員を標的にしています。

Midnight Blizzard-controlled account impersonating Microsoft
Midnight Blizzardが管理するアカウントになりすまされたマイクロソフト(マイクロソフト)

「あなたの組織がTeamsの外部アクセスを有効にしている場合、ユーザーが初めて外部の送信者からメッセージを受信したときに、なりすましの可能性があるかどうかをチェックします。

「なりすましの可能性があると思われる場合、ユーザーには承諾/ブロックのフローで危険度の高い警告が表示され、ユーザーは承諾またはブロックを選択する前にメッセージをプレビューする必要があります。ユーザーがAcceptを選択した場合、Acceptに進む前に潜在的なリスクについて再度プロンプトが表示されます。”

なりすましの試みを検出するセキュリティ・チェックは自動的に行われ、管理者の設定は必要ありません。管理者は、この手口を使ったフィッシング攻撃が検出された場合、監査ログを確認することもできます。

Brand impersonation alert in Teams
Teamsのブランド偽装アラート(Microsoft)

この機能がリリースされるまでの間、Microsoft Teamsを使用しており、外部のテナントとの定期的なコミュニケーションを維持する必要がない場合に推奨される対処法は、”Microsoft Teams Admin Center > External Access “からこの機能を無効にすることである。

外部とのコミュニケーションチャネルが必要な場合、管理者は特定のドメインを許可リストに追加して悪用のリスクを下げることもできる。

マイクロソフトは昨年、”Teamsは181の市場と44の言語で3億2,000万人以上の月間アクティブユーザーにサービスを提供するまでに成長した “と発表した