Microsoft Defender Security Research Teamは2026年4月18日、クロステナントのMicrosoft Teamsを悪用したITヘルプデスクなりすましから始まり、Quick Assistによるリモートアクセス確立、DLLサイドローディング、WinRMによる横展開、Rcloneを用いたデータ窃取に至る9段階の攻撃チェーンを詳細に記述したレポートを公開しました。
この攻撃が特に危険な理由は、正規の企業ツールと管理プロトコルのみを使用し、攻撃の全フェーズにわたって通常のIT運用に溶け込む設計になっている点です。従来型のメールフィッシングとは異なり、Teamsというビジネスコラボレーションプラットフォームを起点とすることで、ユーザーの初期的な警戒心を回避します。
【関連記事】社長のなりすましビジネスチャットで3,000万円詐取-ビジネスチャット詐欺やビジネスメール詐欺(BEC)に注意
攻撃の全体像:9段階の侵害チェーン
Stage 1:Teams経由の初期接触
攻撃者は別テナントから操作したTeamsアカウントを使い、社内のITヘルプデスクや情報システム部門を騙って標的ユーザーに接触します。フィッシングメールとは異なり、Teamsという社内コラボレーションツール上での連絡であることが、ユーザーの警戒心を下げる要因になります。
Teamsには外部送信者ラベル・Accept/Blockプロンプト・スパム/フィッシング警告・URLクリック時のSafe Links警告・ZAP(Zero-hour Auto Purge)など複数の防御機能が組み込まれています。
Microsoftは「この攻撃はユーザーがこれらの警告を意図的に無視・見落とすことに依存している」と明記しており、技術的な脆弱性よりもソーシャルエンジニアリングに依存した攻撃であることが特徴です。
誘い文句は「Microsoftセキュリティアップデート」「スパムフィルター更新」「アカウント確認」などが確認されており、いずれも緊急性を演出してユーザーを急かすパターンです。なお、Teamsメッセージで悪意あるURLを送るのではなく、リモートアクセス確立後に攻撃者自身がエンドポイント上でURLを操作するため、URLフィルタリングだけでは検出が困難です。
Stage 2:Quick Assistによるリモートアクセスの確立
ソーシャルエンジニアリングに成功した攻撃者は、ユーザーにQuick Assistを起動させ、短いコードを入力させた上で、すべての昇格プロンプト(Consent.exe)を承認するよう誘導します。Microsoftによればこのステップは1分以内に完了するケースが多いとされています。
検出のシグナルとして、リモートアシストのプロセスツリー直後に同一デスクトップ上でcmd.exeやPowerShellが起動するパターンが有効な検知指標となります。
Stage 3:対話型偵察とアクセス検証(初期30〜120秒)
Quick Assist経由のアクセス確立直後、攻撃者はまず30〜120秒の間にcmd.exeを使って環境を把握します。
実行されるコマンドはユーザーコンテキスト・権限レベルの確認、ホスト名・OS情報の取得、ドメイン所属確認、レジストリからのOSビルド・エディション確認、ネットワーク偵察です。
限定的な権限しかない環境(キオスク端末・VDI・非ドメイン参加端末など)では、攻撃者はペイロードを展開せずに一時撤退し、後日アクセス状況が改善した際に戻るか、同一テナント内の別標的に切り替えるパターンが確認されています。
Stage 4:ペイロード設置とDLLサイドローディング
リモートアクセスを確立した後、攻撃者はアーカイブ展開または短命のスクリプトを使い、ProgramDataなどの場所にペイロードを設置します。実行には信頼された署名済みアプリケーションを悪用したDLLサイドローディングが用いられており、以下のパターンが確認されています。
AcroServicesUpdater2_x64.exe→msi.dllをロードADNotificationManager.exe→vcruntime140_1.dllをロードDlpUserAgent.exe→mpclient.dllをロードwerfault.exe→Faultrep.dllをロード
いずれも正規の署名済みアプリケーションが非標準パスから攻撃者供給のDLLを読み込む手法であり、従来型のマルウェア検知を回避します。
Stage 5:実行コンテキスト検証とレジストリを使ったローダー状態管理
ペイロード配布後、攻撃者はランタイムチェックを行ってホストの状態(権限レベル・環境設定・セキュリティ製品の有無など)を検証し、実行を継続するか判断します。ローダーの状態管理にはレジストリが使用されるため、永続化のためのレジストリキーの監視が検知の手がかりになります。
Stage 6:C2(コマンド&コントロール)の確立
感染端末から外部の攻撃者インフラへのC2通信が確立されます。この段階でも正規のネットワーク通信に見せかけた通信手法が使われるため、通常のトラフィックと区別することが困難です。
Stage 7:内部探索とドメインコントローラーへの横展開
C2確立後、攻撃者はWindows Remote Management(WinRM)などのネイティブな管理プロトコルを使用した資格情報ベースの横展開を行い、ドメインコントローラーなどの高価値資産に向けてピボットします。正規の管理プロトコルを使用するため、EDRやSIEMでの検知が難しいフェーズです。
この段階での検知のために、WinRMを使ったリモートセッション・net user・net group・whoamiなどの列挙コマンドが短時間に連続実行されるパターンをアラート対象として設定することが推奨されます。
Stage 8:RMMツールの追加展開
攻撃者はさらに商用のリモート管理ツール(RMM)を追加展開し、企業環境全体へのアクセスを拡大します。Quick Assistに加えて複数のリモートアクセスツールを使用することで、一つが検知・遮断されても別のアクセス経路を確保します。
Stage 9:Rcloneを使ったデータ窃取
最終段階として、Rcloneなどのデータ転送ユーティリティを使用してビジネスに関連する機密情報を外部クラウドストレージにステージング・転送します。Rcloneはファイル同期・バックアップの正規ツールであるため、プロセスとして起動しているだけでは悪意ある用途か判断できない点が問題です。通常使用されないクラウドサービス(特定のオブジェクトストレージ等)への大量転送を検知するルールが有効です。
情報システム部門・SOC担当者が取るべき対策
Microsoft Teamsの外部アクセスポリシーの見直し
組織の業務上必要のないテナントからのTeams外部メッセージを制限してください。すべての外部テナントからの連絡を許可している場合、この攻撃の入口を完全に開放していることになります。Teams管理センターで外部アクセスの許可対象テナントを限定するか、外部ユーザーからのメッセージ開始を制限する設定を確認してください。
Quick Assistの利用制限
Quick Assistは正規のリモートサポートツールですが、ITヘルプデスクが実際に使用していない場合はエンドポイント上での実行をブロックすることを検討してください。Microsoft Intuneのアプリケーション制御ポリシーで制限が可能です。Quick Assistを業務で使用する場合も、使用可能な時間帯・ユーザーグループを限定することが推奨されます。
ユーザー教育:Teamsの外部警告を無視しない
Microsoftが「この攻撃はユーザーが警告を無視することに依存している」と明言しているとおり、技術的な対策と並行してユーザー教育が不可欠です。社内のITヘルプデスクが外部テナントからTeamsでコンタクトすることは通常ありえない点を周知してください。また、ITサポートから突然連絡が来て「Quick Assistを起動するよう」求められた場合は、必ず既知の社内連絡先・ヘルプデスクに別経路で本人確認を行うルールを徹底してください。
DLLサイドローディングの検知ルール追加
正規の署名済みアプリケーションが非標準パス(ProgramData配下など)からDLLをロードするパターンをSIEMまたはEDRのアラートルールとして設定してください。特にwerfault.exe・DlpUserAgent.exeなど標準的には特定のDLLのみをロードするプロセスが、予期しないDLLをロードした場合は即座に調査対象として扱ってください。
WinRMを使った横展開の監視
WinRMによるリモートセッションのログを監視し、通常業務で使用されていないホスト間の接続が発生した場合にアラートを上げるルールを設定してください。特にドメインコントローラーへのWinRM接続は高優先度のアラートとして扱うことを推奨します。
Rcloneおよびデータ転送ツールの検知
Rclone.exeの起動、または大容量データの外部クラウドストレージへの転送をプロセス・ネットワーク両面で監視してください。Rcloneの使用が業務上想定されない場合は、プロセス起動時点でアラートを上げる設定が有効です。
Defender XDRのハンティングクエリの活用
Microsoftのレポートには、この攻撃チェーンを検知するためのMicrosoft Defender XDR向けハンティングクエリが掲載されています。ChatCreatedイベントと不審なチャットや後続のリモート管理ツール起動・列挙コマンドの実行を、アカウントおよびチャットスレッド情報で相関させるクエリが特に有効です。
参考情報
- 【一次ソース】Cross‑tenant helpdesk impersonation to data exfiltration: A human-operated intrusion playbook(Microsoft Security Blog、2026年4月18日)
- 【Microsoft公式】Teams のセキュリティガイド
関連記事
EDRSilencerがエンドポイントセキュリティを回避する手段に悪用
エンジニアの求人テストを装う悪性 Next.jsリポジトリ サイバー攻撃
EDR 製品 比較 9選 製品タイプや導入時の注意点も解説
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
北朝鮮系 ハッカーが新型マルウェア「EtherRAT」とReactの脆弱性 React2Shellをサイバー攻撃に悪用
Microsoft Defender for Endpointとは Microsoft純正のEDRについて解説
nginxの設定ファイルを書き換えてWebトラフィックを乗っ取る サイバー攻撃 キャンペーン
EDR 製品の一覧
