今日は、先週セキュリティ業界で大きく話題になったばかりの新しい攻撃手法についてお話しします。日本でも多くの企業が日常的に使っているMicrosoft Teamsが攻撃の入口として悪用されているという報告で、「うちは関係ない」とは言い切れない内容です。ぜひ最後まで読んでみてください。

メールが突然、大量に届き始めたら要注意

ある日、社員の受信トレイに迷惑メールが怒涛のように届き始めます。数百件、数千件──これは偶然でも、単なるスパムでもありません。**攻撃者が仕掛けた「メール爆弾」**です。

混乱している社員のもとに、今度はTeamsのメッセージが届きます。

「ITサポートです。スパムの原因を確認しましたので、修正パッチを適用します。こちらのリンクからインストールをお願いします」

送信者の名前はいかにも社内のIT部門っぽい。Teamsのチャットだから安心感もある。社員はリンクをクリックし、「Mailbox Repair and Sync Utility v2.1.5」と名乗るプログラムをインストールする──これが罠です。

「Snow」とは何か

Google傘下のMandiantが2026年4月に報告した攻撃グループ「UNC6692」は、この手口でSnowと呼ばれる新型マルウェア群を展開しています。

Snowは単体のウイルスではなく、複数のツールを組み合わせた攻撃キットです。

  • SnowBelt:ChromeやEdgeに密かにインストールされる悪意のあるブラウザ拡張機能。ブラウザ上の情報を盗み取ります
  • SnowGlaze:外部の攻撃者指令サーバーへのトンネルを作り、通信を隠蔽するツール。感染端末をSOCKSプロキシとして使います
  • SnowBasin:攻撃者がリモートからコマンドを実行できるバックドア。ファイル操作・スクリーンショット取得・データ窃取に対応します

インストールが完了した後、攻撃者は静かに動き始めます。社内ネットワークを調査し、SMBやRDPで横展開。LSASS(Windowsの認証情報を管理するプロセス)のメモリをダンプしてパスワードハッシュを盗み出し、ドメインコントローラーにまで到達します。最終的にはActive Directoryのデータベースごと持ち出すことが確認されています。

なぜ Teams が狙われるのか

「メールの添付ファイルは開かない」「知らないURLはクリックしない」──こうした教育は多くの企業で浸透しています。攻撃者はそれを知っています。だからこそ、信頼されているチャンネルに標的を移したのです。

Teamsには「外部テナントからのチャット」を受け付ける機能があります。攻撃者はこれを悪用し、社外から社内IT部門を装ってメッセージを送ります。受け取った社員からすると、見慣れたTeamsの画面に、もっともらしい名前のアカウントからメッセージが届いているだけ。フィッシングメールのような違和感が少ない分、引っかかりやすいのです。

Microsoftも自社の調査報告でこの傾向を警告しており、「正規のアプリケーションや管理プロトコルを多用するため、通常業務との区別が難しい」と述べています。

さらに、ReliaQuestの調査では2026年3〜4月の1ヶ月間で、被害者の77%が部長・役員クラスの上位職だったことが明らかになっています(同年1〜2月は59%)。攻撃者は権限の高い人間を精密に狙い始めています。

あなたの会社は大丈夫? 今すぐ確認したい3つのこと

1. Teamsの外部テナント通信を制限しているか

Teams の管理者設定で、外部テナントからのチャットを「すべて許可」にしていませんか。業務上必要な相手に限定するか、外部からのチャットを承認制にすることで、見知らぬアカウントからの接触を大幅に減らせます。

2. IT部門を名乗る連絡への対応手順を社員が知っているか

「ITサポートからのTeamsメッセージ」は偽物かもしれない、という認識を全社員が持っているかどうかが問われます。「リモート操作を求められたら必ず上長に確認する」「公式の問い合わせ窓口を使う」といったルールを、今一度周知することをお勧めします。

3. Quick Assistなどのリモートツールの使用ポリシーを定めているか

Snowの攻撃では、QuickAssistなど正規のリモートアクセスツールを使わせて侵入するケースも報告されています。IT部門以外が使用できないよう制限するか、使用履歴を記録・監視する仕組みが必要です。

「気づいたら侵入されていた」を防ぐために

Snowの怖さは、感染してからドメイン乗っ取りに至るまで、外部から見て普通の業務活動と区別がつきにくい点にあります。

  • 正規ツール(Quick Assist、WinRM、Rclone)を使った横展開
  • 正規の管理プロトコルを使った認証
  • 暗号化された通信によるC2(指令サーバー)との接続

エンドポイントのウイルス対策ソフトだけでは、こうした「正規ツールを使った攻撃」を検知するのは困難です。ネットワーク全体のログを継続的に監視し、異常な振る舞いのパターンを早期に捉える仕組みが不可欠になっています。

SOCが「人を狙う攻撃」に対して果たす役割

今回のSnowのような攻撃は、技術的な脆弱性ではなく人の判断を入口にしています。どれだけ優れたツールを導入しても、社員がリンクをクリックした瞬間に侵入を許してしまう──これが現実です。

だからこそSOCの役割は、「侵入させない」だけでなく 「侵入された後、いかに素早く気づいて封じ込めるか」 にあります。

  • LSASS のダンプや Pass-the-Hash などの異常なWindows認証イベントの検知
  • 外部への不審な大容量データ転送の検知
  • ドメインコントローラーへの不審なアクセスの監視
  • Teams の外部チャット経由でのファイルダウンロードログの分析

こうした多層的な監視を24時間継続することで、「気づいたらドメインごと乗っ取られていた」という最悪のシナリオを防ぐことができます。

YARAルールを活用した「脅威ハンティング」という発想

SOCがSnowのような新型マルウェアに対して持つ、もう一つの重要な武器があります。それが 脅威ハンティング(Threat Hunting) です。

YARAルールとは?

MandiantはSnowのレポートで、IoC(侵害の痕跡)とあわせてYARAルールを公開しています。YARAとは、マルウェアのコードや動作パターンを記述した「特徴の設計図」です。これを使うと、環境内のファイルやプロセスを能動的にスキャンして、すでに侵入済みのマルウェアを探し出すことができます。

通常の監視との違い

 通常のセキュリティ監視脅威ハンティング
姿勢受け身(アラートが来たら対応)能動的(自ら侵害を探しに行く)
対象検知ルールに引っかかった脅威まだ気づいていない潜伏中の脅威
タイミングインシデント発生後発生前・潜伏中

なぜSnowに脅威ハンティングが有効なのか

Snowは侵入後に正規ツール(WinRM・FTK Imager・LimeWireなど)を使って静かに活動するため、通常の検知ルールでは引っかかりにくく、アラートが上がらないまま数週間〜数ヶ月潜伏する可能性があります。

Mandiantが公開したYARAルールをSOCに組み込み、定期的に環境全体をスキャンすることで、「感染しているかもしれないが気づいていない」状態を早期に発見できます。

ただし、継続的な実施には専門性が必要

脅威ハンティングは、最新の脅威インテリジェンスを常時インプットしながら、仮説を立てて環境を調査するという高度なスキルが求められます。社内リソースだけで継続実施するのは容易ではなく、だからこそYARAルールを常時アップデートしながら能動的に調査できるSOCパートナーの存在が不可欠です。

Colorkrwでは、SOCによる継続監視から、YARAルールを活用した脅威ハンティング、Teamsなどのコラボレーションツールを含む社内環境全体の脅威検知支援まで対応しています。「今の監視体制で本当に検知できるか不安」「すでに侵害されていないか確認したい」という方は、まずはお気軽にご相談ください。

参考情報

  • BleepingComputer: “Threat actor uses Microsoft Teams to deploy new Snow malware”(2026年4月25日)
  • The Hacker News: “UNC6692 Impersonates IT Help Desk via Microsoft Teams to Deploy SNOW Malware”(2026年4月)
  • Dark Reading: “UNC6692 Combines Social Engineering, Malware, Cloud Abuse”(2026年4月)
  • Google / Mandiant: “Snow Flurries: How UNC6692 Employed Social Engineering to Deploy a Custom Malware Suite”(2026年4月23日)
  • Microsoft Security Blog: “Microsoft Teams increasingly abused in helpdesk impersonation attacks”
  • ReliaQuest: Teams-based impersonation report(2026年4月)