🔥 この記事の詳細
2026-05-06 更新
B
今週中

イラン系のAPTグループMuddyWaterが、ランサムウェア攻撃を装ったスパイ活動を行っていること

事案🌐 英語ソース🏢 他社事案
📅 2026-05-06📰 securityweek
📌 一言でいうと
イラン系のAPTグループMuddyWaterが、ランサムウェア攻撃を装ったスパイ活動を行っていることが判明しました。攻撃者はMicrosoft Teamsを通じて社員に接触し、画面共有セッションを利用して認証情報を窃取し、MFAを回避してアカウントを乗っ取ります。実際にはファイルの暗号化は行わず、偵察やデータ窃取などの諜報活動を目的としています。
ℹ️ これは他社で発生した事案の情報です。貴社が当該サービスを利用していない場合は、参考情報としてご確認ください。同様の攻撃手法に対する備えのきっかけとしてもご活用いただけます。
🔍該当判定
  • 社内で『Microsoft Teams』を利用しており、外部ユーザーとのチャットや画面共有を行っている
  • リモート操作ソフトの『AnyDesk』を業務で導入・利用している
  • 外部から社内ネットワークに接続するための『VPN』を利用している
  • Windowsの『リモートデスクトップ(RDP)』を有効にして外部から接続できるようにしている
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なチャットツール経由の画面共有依頼を拒否すること。MFAの再設定および不審なログイン履歴の確認。リモート管理ツール(AnyDesk等)の利用制限と監視の強化。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なチャットによる画面共有依頼への注意について

お疲れさまです。情報システム担当です。
現在、Microsoft Teamsなどのチャットツールを使い、サポートを装って画面共有を要求し、パスワードなどを盗み出す攻撃が確認されています。

ご協力をお願いしたいこと:
1. 知り合いではない相手や、不自然なタイミングでの「画面共有」の依頼には絶対に応じないでください。
2. チャット上でパスワードや認証コードを教えるよう指示された場合は、すぐに情報システム部へ報告してください。
3. 不審なツール(AnyDeskなど)のインストールを指示された場合は、絶対に行わないでください。

対応期限: 本日中(周知確認)
Subject: [Security Alert] Beware of Unsolicited Screen-Sharing Requests

Hi everyone,

Our security team has identified a threat where attackers use chat tools like Microsoft Teams to request screen-sharing sessions to steal credentials and access company data.

Please follow these guidelines:
1. Never accept screen-sharing requests from unknown individuals or unexpected sources.
2. Do not share your passwords or MFA codes via chat, even if requested by someone claiming to be support.
3. Do not install any remote management software (e.g., AnyDesk) unless officially approved by IT.

Deadline: Immediate
件名: 【共有】MuddyWaterによるランサムウェア偽装攻撃への対応について

お疲れさまです。MuddyWaterによる新たな攻撃手法に関する情報共有です。

■ 概要
イラン系APT MuddyWaterが、MS Teamsでのソーシャルエンジニアリングを用いて初期侵入し、ランサムウェアを装いながら実際には諜報活動(データ窃取・偵察)を行う事例が報告されています。画面共有を通じて認証情報を窃取し、MFAを回避して永続性を確保します。

■ 影響範囲
- Microsoft Teamsを利用している全ユーザーおよび管理アカウント
- AnyDeskやDWAgent等のリモート管理ツールが許可されている環境

■ 対応手順
1. Teams等のチャットログにおける不審な外部ユーザーとの接触および画面共有の履歴を確認してください。
2. AnyDesk、DWAgent等の未承認リモートアクセスツールの実行ログを監視し、不審な通信を遮断してください。
3. 特権アカウントのログイン履歴を確認し、不審なRDPセッションがないか点検してください。

■ 参考情報
- Rapid7 Threat Intelligence Report

対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] MuddyWater APT Masquerading as Ransomware

Hi team,

This is a technical alert regarding the Iranian APT group MuddyWater.

■ Overview
MuddyWater is employing a tactic where they masquerade as ransomware actors to conduct espionage. They use social engineering via Microsoft Teams to initiate screen-sharing sessions, steal credentials, and bypass MFA. Persistence is maintained via RDP and tools like DWAgent.

■ Scope
- Organizations using Microsoft Teams
- Environments where remote management tools (AnyDesk, etc.) are permitted

■ Mitigation Steps
1. Audit Teams logs for unauthorized external interactions and screen-sharing sessions.
2. Monitor and restrict the execution of unauthorized remote access tools (AnyDesk, DWAgent).
3. Review RDP logs for anomalous login patterns and verify MFA integrity for privileged accounts.

■ Reference
- Rapid7 Threat Intelligence Report

Priority: High
Deadline: Immediate