Windows 10/11の「クイック アシスト」を悪用した攻撃、Microsoftが注意喚起

Windows 10/11に最初から含まれているリモートアシスタントツール「クイック アシスト」

　Windows 10/11標準のリモートアシスタントツール「クイック アシスト」を悪用したソーシャルエンジニアリング攻撃が確認されているとのこと。米Microsoftが5月15日（現地時間）、公式ブログ「Microsoft Security Blog」でその詳細を解説している。

　この攻撃は2024年4月中旬以降、「Storm-1811」と呼ばれているサイバー犯罪グループによって行われている。このグループは金銭を騙し取るため、さまざまな方法でユーザーをだまし、最終的に「Black Basta」ランサムウェアなどの悪意のあるツールをインストールさせる。その手口の一つとして、「クイック アシスト」が悪用されているという。

　「クイック アシスト」はWindows 10/11に最初から含まれているリモートアシスタントツールで、［Windows］＋［Ctrl］＋［Q］キーで簡単に起動できる。遠隔地にいるPCに詳しい家族や友人にお願いして難しい操作を肩代わりしてもらったり、トラブルの解決を任せたりするといった用途で一般的に用いられるが、なかにはIT担当者やヘルプデスク担当者を名乗るものが電話口で「クイック アシスト」による遠隔操作を提案することもあるようだ。

　しかし、これはなりすましの可能性がある。なかには犯罪者グループ自身が「リンクリストアタック」と呼ばれる攻撃を仕掛け、メールボックスをスパムメールだらけにし、困ったユーザーが助けを求めるのを狙って「クイック アシスト」による支援を申し出るという悪質なケースもあるようだ。このような手法で犯罪者に遠隔操作を許し、デバイスにマルウェアを植え付けられてしまうと好き放題されてしまう。

　Microsoft側もさまざまな対策を講じているが、特定のユーザーが標的になった場合の対策は難しい。そこで、同社は以下のような対策を推奨し、サイバー犯罪へ備えるように呼び掛けている。

• 「クイック アシスト」やその他のリモート監視・管理ツールを利用しない場合、これらのツールをブロックまたはアンインストールする
• 技術サポート詐欺から身を守るためにユーザーを教育する
• 「クイック アシスト」でデバイスへの接続を許可する相手は、MicrosoftのサポートまたはITサポート担当者に直接連絡してやり取りできる場合に限る。急を要するなどして身元の確認を避けようとする人物にアクセスを許可しない
• 遠隔操作中に不審な行為があれば、すぐにセッションを切断し、当局や社内の関連部署に連絡する

遠隔操作される側が許可しない限り、「クイック アシスト」は接続されない

リモート操作画面。操作される側は、いつでも「脱退」できる。不審だと感じたらすぐにセッションを切断