Microsoftはリモート支援ツール「クイックアシスト」を悪用したサイバー攻撃を観測している。攻撃の手口と同社が推奨する対処法を紹介する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Microsoftは2024年5月15日(米国時間)、Windows PCのリモートサポートツール「クイックアシスト」を悪用してランサムウェアに感染させるテクニカルサポート詐欺についてのブログ記事を公開した。Microsoftは以下のように説明している。
Microsoftは2024年4月中旬以降、攻撃者Storm-1811がクイックアシストを悪用し、ユーザーをソーシャルエンジニアリング攻撃の標的にしていることを確認している。Storm-1811は、ランサムウェアの一種「Black Basta」を展開することで知られる金銭目的のサイバー犯罪グループだ。
彼らは手始めに音声フィッシング(ヴィッシング)でなりすまし、「ConnectWise ScreenConnect」や「NetSupport Manager」などのリモート監視/管理ツールや「Qakbot」「Cobalt Strike」などのマルウェアを配信して、最終的には「Black Basta」と呼ばれるランサムウェアを送り込む。
クイックアシストは、リモート接続によってWindowsやmacOSのデバイスを他のユーザーと共有できるアプリケーションだ。リモート端末の画面共有から完全な制御までができ、一般的にはトラブルシューティングで用いられる。攻撃者はこのツールを悪用してソーシャルエンジニアリング攻撃を実行する。
例えば、Microsoftのテクニカルサポートやユーザーの所属する企業のPCサポート担当者になりすまし、ユーザーをだましてターゲット端末にアクセスする。
Microsoftは、悪意ある行為から顧客を保護することに加え、攻撃におけるクイックアシストの使用を調査し、ヘルパーと共有者間の透明性と信頼性の向上に取り組んでいる。また、クイックアシストに警告メッセージを織り込み、テクニカルサポート詐欺の可能性をユーザーに警告している。
クイックアシストは、Windows 11が動作するデバイスにデフォルトでインストールされている。しかしながら、クイックアシストや他のリモートマネジメントツールを使用していない組織では、無効化またはアンインストールすることで、攻撃リスクを軽減できる。一方、業界全体で問題となっているテクニカルサポート詐欺は、ユーザーを脅迫し、不安に陥らせて、不要な技術サポートサービスを売りつけようとするものだ。詐欺を見分ける方法をユーザーに教育することで、ソーシャルエンジニアリング攻撃の影響を大幅に減らすことができる。
攻撃者は、ヴィッシングを用いて、クイックアシストを通じてターゲットデバイスへの初期アクセスを取得する。ヴィッシングとは、詐欺師が電話でターゲットに近づき、巧妙な話術で機密情報を聞き出したり、意図せぬ操作を行わせたりする攻撃である。
例えば、攻撃者がIT担当者やヘルプデスクの担当者になりすまし、デバイスを修正するふりをする。また、リンクリスト攻撃を仕掛けるケースもある。ここでは攻撃者がターゲットユーザーにメールボム攻撃を仕掛けた後に、ITサポートになりすまし、解決を支援すると偽り電話する。
攻撃者はユーザーを説得し、クイックアシストを通じてデバイスへのアクセスを許可させる。ターゲットユーザーは、下図のように[Ctrl]+[Windows]+[Q]を押し、攻撃者から提供されたセキュリティコードを入力する。
ターゲットがセキュリティコードを入力すると、画面共有の許可を求めるダイアログボックスが表示される。「許可」を選択すると、ユーザーの画面が攻撃者と共有される。
セッションに入ると、攻撃者は「コントロールリクエスト」を選択する。ターゲットがこれを承認すると、攻撃者はターゲットのデバイスを完全にコントロールできるようになる。
Microsoftはクイックアシストを悪用した攻撃や脅威からユーザーや組織を保護するために、以下のベストプラクティスを推奨する。
Microsoftでは、この脅威への影響を軽減するために、以下の対策を推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.