2026.07.09
Microsoft Teams の偽サポート電話でマルウェア「EtherRAT」を拡散する手口が発覚
Palo Alto Networks の脅威インテリジェンス部門 Unit 42 は、Microsoft Teams の音声通話を悪用してマルウェア「EtherRAT」を拡散する攻撃手法について報告しました。企業のITサポート担当者を装って従業員をだまし、企業ネットワークへの初期アクセス権を獲得するというものです。
手口としては、まず「従業員アンケート」を装ったメールに添付された悪意あるファイルを開かせ、直後に Microsoft Teams の音声通話でシステム管理者を名乗って接触してきます。その後、画面共有を通じて正規のリモート管理ツール(HopToDesk や AnyDesk など)をインストールさせ、最終的に遠隔操作でマルウェアを仕込んで被害を広げていくのが特徴です。
こうした脅威の背景にあるのが、信頼性の高い業務ツールの悪用と手口の巧妙化です。攻撃者はあえて外部アカウントからチャットを開始してシステムの制御権を奪うほか、検知や遮断を避けるため、停止させにくいブロックチェーンの仕組みを悪用してC2サーバー(感染端末を遠隔操作するための指令サーバー)の在り処を隠します。こうした手口の巧妙化が、防御側にとって対処の難しさにつながっています。
Fake IT support calls on Microsoft Teams push EtherRAT malware|Bleeping Computer
www.bleepingcomputer.com

企業向けのアドバイス
- システム管理者を装った外部アカウントからの不審な着信やチャットに応じないよう社内へ周知してください。
- IT担当者を名乗る電話であっても安易にリモート操作を許可しないよう周知してください。
- 未許可の遠隔管理ツールがインストールされていないか端末の確認をご検討ください。
掲載されているアドバイスはあくまで参考情報です。サイトのご利用にあたってをご覧のうえ、ご活用ください。
執筆者

サイバーセキュリティラボ 編集部
サイバーセキュリティラボとは、中堅・中小企業がセキュリティの課題を理解し適切な対応をとれるよう支援するため、USEN&U-NEXT GROUPのUSEN ICT Solutionsに設立された情報発信の組織です。サイバーセキュリティラボ 編集部には、セキュリティエンジニアやネットワークエンジニア、セキュリティサービスを販売するセールスなど、さまざまなメンバーが在籍しています。
