🔥 この記事の詳細
2026-05-26 更新
C
月内に

攻撃者がMicrosoft Teamsの外部アクセス機能を悪用し、ITサポートを装って企業社員にアプローチする攻撃

脆弱性🌐 英語ソース
🔢 CVECVE-2023-36036
📅 2026-05-26📰 ithome_tw
📌 一言でいうと
攻撃者がMicrosoft Teamsの外部アクセス機能を悪用し、ITサポートを装って企業社員にアプローチする攻撃が確認されました。標的となったユーザーはPowerShell経由でDropboxからModeloRATをダウンロードさせられ、さらにCVE-2023-36036の脆弱性を利用してSYSTEM権限への昇格が行われます。最終的に偽のWindowsロック画面でパスワードを盗み出し、内部ネットワークでの横展開を試みます。
🔍該当判定
  • Microsoft Teamsで、社外の人(外部ユーザー)からの直接メッセージ受信を許可している
  • 社員がPC上でPowerShellやPythonなどのコマンド実行ツールを利用できる環境にある
  • Windows Updateを停止しており、2023年以前の古いOSバージョンをそのまま利用している
  • ITサポートを装った外部ユーザーから、Dropbox等のURL送付やファイルの実行を指示された形跡がある
上記いずれにも該当しない → 静観でOK
該当時の対応
1. Teamsの外部アクセス設定の見直しと監視の強化。 2. Windows Cloud Files Mini Filter Driverの更新(CVE-2023-36036への対応)。 3. ITサポートを装う不審な外部ユーザーからの連絡に対する注意喚起。 4. EDR等の検知ルールにPythonベースの不審な挙動を追加。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft Teamsでの不審な連絡にご注意ください

お疲れさまです。情報システム担当です。
現在、Microsoft TeamsでITサポート担当者を装い、偽のツールやプログラムの実行を促す攻撃が報告されています。

ご協力をお願いしたいこと:
1. 知らない外部ユーザーからTeamsで連絡があった場合、指示に従ってファイルを開いたり、コマンドを実行したりしないでください。
2. ITサポートからの連絡であっても、不審な点がある場合は必ず社内の正規ルートで担当者に確認してください。
3. 万が一、不審な操作を行ってしまった場合は、すぐに情報システム部へ報告してください。

対応期限: 本日中
Subject: [Security Alert] Beware of Suspicious Messages on Microsoft Teams

Dear employees,
We have received reports of attacks where threat actors impersonate IT support via Microsoft Teams to trick users into running malicious programs.

Requested Actions:
1. Do not follow instructions to download files or execute commands from unknown external users on Teams.
2. Even if a message appears to be from IT support, please verify the request through official internal channels if it seems suspicious.
3. If you have already interacted with a suspicious user or executed any unknown commands, please report it to the IT department immediately.

Deadline: Immediate
件名: 【共有】Microsoft Teams経由のModeloRAT攻撃とCVE-2023-36036への対応について

お疲れさまです。Teamsを起点とした標的型攻撃に関する情報共有です。

■ 概要
攻撃者がTeamsの外部アクセス機能を悪用し、ITサポートを装ってModeloRATを配布しています。権限昇格にWindows Cloud Files Mini Filter Driverの脆弱性(CVE-2023-36036)を利用し、SYSTEM権限を取得後、偽のロック画面で資格情報を窃取する手法が確認されています。

■ 影響範囲
- Microsoft Teams (外部アクセス有効環境)
- Windows (CVE-2023-36036 未適用環境)

■ 対応手順
1. Teamsの外部アクセス設定(External Access)の監査および制限の検討。
2. 端末のOSアップデートを確認し、CVE-2023-36036が修正済みであることを確認する。
3. PythonおよびPowerShellによる不審な外部通信(Dropbox等)の監視強化。

■ 参考情報
- Rapid7 Threat Intelligence Report

対応優先度: 高
対応期限: 今週中
Subject: [Technical Alert] ModeloRAT Campaign via MS Teams and CVE-2023-36036

Dear Security Team,

This is a technical alert regarding a campaign utilizing ModeloRAT distributed via Microsoft Teams.

■ Overview
Threat actors are abusing Teams' external access to impersonate IT support. They deploy ModeloRAT via PowerShell/Dropbox and exploit CVE-2023-36036 (Windows Cloud Files Mini Filter Driver) for SYSTEM privilege escalation. Credential theft is achieved via a spoofed Windows lock screen.

■ Scope
- Organizations with Microsoft Teams External Access enabled.
- Windows systems vulnerable to CVE-2023-36036.

■ Mitigation Steps
1. Audit and restrict Microsoft Teams External Access settings.
2. Ensure all endpoints have patched CVE-2023-36036.
3. Enhance monitoring for suspicious Python/PowerShell activity communicating with cloud storage (e.g., Dropbox).

■ Reference
- Rapid7 Threat Intelligence Report

Priority: High
Deadline: End of this week
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-26 のまとめ🔍 記事を検索