欧州・アジアを中心に活動が確認されている高度な攻撃グループ「ToddyCat」が、企業のOutlookメールデータやMicrosoft 365のアクセス認証情報を盗み取るために、新たな独自ツールと手法を使い始めていると報告されています。Kasperskyによれば、攻撃者はOSTファイルの複製やOAuth 2.0トークンの窃取など、クラウド・オンプレミス双方を標的とする多層的な手法を用いています。今回の報告内容は、日本企業におけるメールシステム防御を見直すきっかけになり得るものです。
The Hacker News:ToddyCat’s New Hacking Tools Steal Outlook Emails and Microsoft 365 Access Tokens
この記事のポイント
影響のあるシステム
- Microsoft Outlook(ローカルOSTファイル)
- Microsoft 365(OAuth 2.0 / JWT アクセストークン)
- Windows環境(PowerShellスクリプトの悪用)
- 主要ブラウザ(Chrome・Edge・FirefoxのCookie/資格情報)
- 企業ネットワーク上のドメインコントローラ
推奨される対策
- Microsoft 365アカウントへの多要素認証(MFA)の強制
- Outlook・ブラウザなどクライアント側アプリの最新化
- 不審なPowerShell実行・タスクスケジューラの監視
- 認証トークン情報の異常利用の検知ルール強化
- ブラウザ資格情報・Cookieの保存ポリシー見直し
上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。
この記事に出てくる専門用語
- OSTファイル:Outlookがローカルに保存するオフラインメールデータです。
- OAuth 2.0 トークン:クラウドサービスにアクセスするための認証情報です。
- DPAPI:Windowsがデータ暗号化に利用する仕組みで、ユーザー固有のキーで保護されています。
- JWT(JSON Web Token):クラウドアプリへのログイン認証などに使用されるトークン形式です。
攻撃グループ「ToddyCat」が狙う新たな標的:企業メール情報
ToddyCatは2020年頃から活動が確認されており、これまで欧州・アジアの組織を中心に攻撃を続けてきたグループです。今回報告された新たな攻撃手法は、企業におけるメール情報の収集に特化している点が特徴です。特に、攻撃者はユーザーのブラウザで利用されるOAuth 2.0の認可フローを悪用し、メールサービスにアクセスするためのトークンを取得しているとされています。これにより、攻撃者は侵害した企業ネットワーク外からでもメールデータへアクセスできる可能性が指摘されています。さらに、過去にはChromeやEdgeのCookieを盗むツール群も使用されており、認証情報を幅広く収集する姿勢が一貫していることが分かります。企業のメール基盤がクラウドに移行している中で、攻撃対象とするデータの範囲も拡大しており、その被害シナリオは多面的になっています。
技術的背景:PowerShell改変版や独自ツールで認証情報を追跡
Kasperskyの分析によれば、ToddyCatはこれまでC++やC#で作られていた情報窃取ツール「TomBerBil」をPowerShell化し、2024年5〜6月の攻撃で新たに利用していたと報告しています。このPowerShell版はFirefoxからブラウザデータを取得する機能を備えており、さらにドメインコントローラ上の特権ユーザーで実行されることで、ネットワーク共有(SMB)を介してリモートホストのブラウザデータにもアクセスできる点が厄介です。ブラウザの保存データは通常DPAPIで暗号化されますが、TomBerBilは暗号化解除に必要なキーを取得する仕組みを持つため、データ奪取を容易にする恐れがあると指摘されています。また、OutlookのOSTファイルに対しては独自開発の「TCSectorCopy」が使用され、ディスクに直接アクセスしてファイルをセクタ単位でコピーします。これにより、Outlookが起動中でも通常とは異なる手法でOSTファイルにアクセスできるため、攻撃者にとって有利に働く可能性があるとされています。
日本企業でも確認しておくべきポイント
今回の報告内容は、クラウドサービスとローカル保存データの双方を悪用するハイブリッド型の攻撃が増加している現状を示唆しています。日本企業においても、Microsoft 365のアカウント保護を強化するとともに、従来のEndpoint監視だけでは検知が難しいPowerShell利用の不審な挙動に注意を払う必要があります。また、ブラウザに保存されるCookieや資格情報は業務効率向上のために利用されがちですが、その分、攻撃者が狙いやすい領域でもあります。端末管理では、保存ポリシー見直しや資格情報の定期削除などが検討ポイントとなります。さらに、OSTファイルの複製を防ぐためには、EDRなどによるファイルアクセス監査の強化や、Outlookプロセスのメモリダンプ試行を阻止する保護機能が有効とされています。クラウドとオンプレミス両方の視点で防御体制を見直すことが、今回のような攻撃に備えるうえで重要です。
参考文献・記事一覧
投稿者プロフィール
- CyberCrew(サイバークルー)は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。
