Microsoft Teams悪用のフィッシング攻撃、Quick Assist経由で企業ネットワーク侵害

Microsoft Teamsを悪用したビッシング攻撃、企業ネットワーク侵害の実態

2025年11月、攻撃者がMicrosoft Teamsを通じてボイスフィッシング（ビッシング）を行い、企業ネットワークに侵入した事例が確認された。攻撃者は社内ITサポートを装って従業員に接触し、「Quick Assist」アプリを利用してリモートアクセス権限を取得した。

初期段階では複数の従業員が不審に気づいたものの、最終的に一部の従業員がだまされ、Quick Assistを通じて攻撃者に端末の操作権限が付与された。この手口は、脆弱性ではなく人間の信頼を悪用する攻撃の有効性を示している。

リモートアクセス確立後、攻撃者は被害者を悪性サイトへ誘導し、偽のログインページを用いて認証情報を窃取した。さらにMicrosoft Installerパッケージに偽装したマルウェアを配布し、暗号化ローダーや管理ツールを用いてネットワーク内での活動を隠蔽しながら権限拡大を図った。

迅速な対応による被害抑止と教訓

Microsoftの検出・対応チーム（DART）は本攻撃を迅速に封じ込め、ビッシング攻撃の発信元の特定を進めた。早期の隔離対応により重要資産は保護され、ネットワーク内での横展開も阻止された。

デジタルフォレンジックの結果、攻撃は一部で成功していたものの、ネットワーク全体の掌握には至らなかったことが確認されている。

今回の事例は、企業内の信頼関係や正規ツールが攻撃に悪用され得るリスクを示すものであり、迅速な対応体制とユーザー教育の重要性を改めて浮き彫りにした。