チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「Microsoft Teamsの画面共有で、外部の攻撃者に資格情報を奪われる事態は起こり得るのでしょうか?」
「ランサムウェア被害と思っていたら、実は国家支援の標的型攻撃だったというケースは現実にあるのでしょうか?」
チップスボス、Teamsで知らない人から画面共有の依頼が来たら、断ればいいだけだと思っていたんでしゅが、それで本当に防げるんでしゅか?
ボスその認識は甘いな。攻撃者はサポート担当を装って画面共有を促し、認証情報やMFAコードを目の前で抜き取る。今回はイラン系APTがTeamsを足場に、ランサムウェアを「偽旗」として使った事例だ。
本記事では、Rapid7が2026年に観測したMuddyWaterの偽装ランサム攻撃を取り上げ、Teams経由の社会工学が国家支援の諜報活動とどう結びついているのかを整理します。
3行で分かるニュースのポイント
記事を最後まで読むと、Teamsを使う日本企業が今すぐ見直すべき設定と運用ルールが見えてきます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
Rapid7は2026年初頭から続く一連の侵害を分析し、攻撃の主体がイラン情報省(MOIS)に紐づくAPT「MuddyWater」であると結論付けました。
攻撃者はサポート担当などを装い、標的企業の従業員にMicrosoft Teamsで接触しました。
会話の流れで画面共有を求め、対話型のセッション中に認証情報を入力させ、MFAコードを口頭やチャットで抜き取る手法が確認されています。
侵入が成立すると、DWAgentやAnyDeskといった正規の遠隔管理ツールを設置して永続化を図ります。
従来のマルウェア検知では捕捉しにくく、内部ネットワークでの横展開や情報窃取が長期間続いた事例も報告されています。被害が確認された業種は以下の通りです。
表面上はChaosランサムウェアによる金銭目的の攻撃に見えても、実態は国家支援の諜報活動でした。
従来のランサムウェアと異なり、今回の侵入ではファイル暗号化が一度も実行されていません。
身代金要求メッセージとChaosの痕跡だけを残し、実際にはデータ窃取と長期的なアクセス維持が目的でした。
Rapid7はC2ドメイン「moonzonet[.]com」やコード署名証明書「Donald Gay」をMuddyWaterの既知インフラと一致させ、イランMOISへの帰属を裏付けています。
主な侵入フローは以下のとおりです。
| 段階 | 攻撃者の行動 |
|---|---|
| 初期接触 | Teamsでサポート担当を装い、画面共有を依頼 |
| 資格情報窃取 | 対話型セッション中にIDとMFAを抜き取る |
| 永続化 | DWAgent・AnyDeskを設置して遠隔操作を確保 |
| 偽装 | Chaosランサムの痕跡を残し、属性特定を妨害 |
チップスええっ、暗号化しないのに身代金要求の痕跡だけ残すんでしゅか!?それじゃあ、被害者側は普通のランサムだと勘違いしちゃうでしゅよ。
ボスそこが狙いだ。捜査リソースをサイバー犯罪として処理させれば、国家関与の本筋から目を逸らせる。出典はRapid7の分析レポートを確認するといい。
今回の事例は、ランサムウェア被害と見える事件の裏に国家支援の諜報活動が潜むケースが現実に発生していることを示しています。
Microsoft Teamsの外部ユーザー連携を「許可されたドメインのみ」に絞り、画面共有時の認証情報入力を社内ルールで明確に禁止する運用が出発点です。
あわせて、DWAgent・AnyDeskなど正規RMMツールの利用状況を可視化し、未承認の導入を検知できる体制を整えることが急務だといえます。
オススメ案件
【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行
【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM
【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート相談可)/Entra ID・セキュリティ改善
