コミュニケーション基盤系(メール・チャット乗っ取り)の攻撃と対策
攻撃視点の分類 → セキュリティ脅威マップ / レイヤーB「端末・ネットワーク・基盤を侵す」
メールやSlack/Teamsのアカウントそのものを奪い、そこを足場に被害を一気に広げる 攻撃の総称。なりすまし・フィッシング系が「だまして入口に立つ」攻撃だとすれば、こちらは 乗っ取った後にどこまで被害を拡大できるか に主眼がある。一度コミュニケーションの拠点を握られると、攻撃者は「いつもの本人」になりすまして同僚や取引先をだまし、他のサービスへ次々と侵入していく。
このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向けの実装/設定。まず🟢を全員で、🔧は技術担当が押さえる。
1. このジャンルの攻撃とは
メール・チャット(Slack/Teams/LINE WORKS など)は、会社のやりとりが集まる「中心の広場」。ここを乗っ取ると、攻撃者は次のことができてしまう。
- 本人になりすまして 同僚・取引先に偽の連絡やリンクを送る(相手は「いつもの人」だから信じる)
- 過去のメール・ファイル・連絡先 を読み放題にして、次の攻撃のネタを集める
- 他サービスのパスワードを再発行 して、芋づる式にアカウントを奪う(後述の鍵束問題)
つまり狙いは「1つのアカウント」ではなく、そこを起点にした連鎖的な被害の拡大。最初の侵入はフィッシングやパスワード使い回しでも、本当の怖さは「乗っ取られた後」に始まる。
🟢 なぜメールを取られると致命的か(鍵束問題)
多くのサービスは 「パスワードを忘れた」→ 登録メールに再設定リンクを送る 仕組み。 つまり メールアカウント=あらゆるサービスの合鍵。メールを乗っ取られると、攻撃者は各サービスでパスワード再発行を繰り返し、被害が芋づる式に広がる。
これは なりすまし・フィッシング系 でも触れた「鍵束問題」と同じ考え方。フィッシングが鍵束を だまし取る入口 なら、このページは鍵束を 握った後に何が起きるか を扱う。
→ だからこそ メール(と主要アカウント)には多要素認証(MFA)が必須。チャットも同じく中心の広場なので、メールと並んで最優先で守る。
2. 主な手口
| 手口 | しくみ(何が起きるか) |
|---|---|
| メールアカウント乗っ取り → パスワード再発行の連鎖 | メールを奪い、各サービスで「パスワードを忘れた」を繰り返して再設定リンクを横取り。鍵束問題そのもの。 |
| Slack/Teams/チャット乗っ取り | 乗っ取ったアカウントから、社内の同僚へ「本人として」偽リンク・偽ファイルを拡散。相手は信じて踏みやすい。 |
| OAuth/アプリ連携の悪用 | 「このアプリにアクセスを許可しますか?」で不正な連携アプリを承認させ、メールや連絡先への継続的なアクセス権を渡してしまう。 |
| Webhook・Bot の悪用 | チャットに仕込まれた通知用URL(Webhook)やBotを乗っ取り、外部へ情報を流す/なりすまし投稿をする。 |
| セッションCookie窃取 | ログイン済みを示す「通行証(Cookie)」を盗み、ID・パスワード・MFAコードを入れ直さずに 再ログインを回避 して入り込む。 |
| SIMスワップ | 携帯会社をだまして電話番号を別のSIMへ移し替え、SMS認証コードを横取りしてMFAを突破する。 |
| 自動転送ルールの仕込み | こっそり「受信メールを外部へ自動転送」する設定を仕掛け、本人に気づかれず盗み見を続ける。 |
3. 実例・典型シナリオ
- メール乗っ取り → 各サービスのパス再発行: 盗んだパスワードでメールに侵入し、ネット銀行・SNS・クラウドの「パスワードを忘れた」を次々に実行。届いた再設定リンクをメール上で横取りして、アカウントを丸ごと奪う。
- Slackで同僚に偽リンク拡散: 乗っ取られた同僚アカウントから「この資料見て」とDMが届く。本人からのメッセージに見えるので、つい偽サイトのリンクを踏み、別の人のアカウントも連鎖的に侵害される。
- 攻撃者が転送ルールを仕込み静かに監視: 侵入後すぐに「請求・振込を含むメールを外部アドレスへ自動転送」する隠れルールを設定。本人は何も気づかないまま、取引や請求の情報が抜かれ続け、最適なタイミングでBEC(振込先変更詐欺)に利用される。
- 退職者の連携アプリが残存: 退職した社員が昔つないだ外部アプリ連携やBotが、アカウント停止後も生き残ったまま。誰も管理しておらず、トークン経由でデータにアクセスされ続ける。
4. 対策
🟢 基礎(全員がやること)
- メール・主要アカウントにMFAをかける — 中心の広場であるメールとチャットを最優先で多要素認証に。パスワードが漏れても乗っ取りを防ぐ最後の砦。
- 不審ログイン通知をオンにする — 「新しい端末/海外からのログイン」を知らせる通知を有効化し、見覚えのないログインにすぐ気づけるようにする。
- 見覚えのない連携アプリは外す — アカウント設定の「連携アプリ/アクセスを許可したアプリ」を時々見直し、使っていない・心当たりのないものは解除する。
- チャットの不審リンク/ファイルは別経路で確認 — 同僚からでも、急かす内容や急なリンク/ファイルは、チャットとは別の手段(電話・対面)で「これ送った?」と確認してから開く。
- 乗っ取りが疑わしければ即パスワード変更+全端末からログアウト — 「踏んだかも」「勝手に送信されている」と思ったら、すぐパスワードを変え、すべての端末からサインアウトして、担当へ報告する。
🔧 応用(エンジニア・運用)
- MFAの必須化(できればパスキー/FIDO2) — 全アカウントでMFAを強制。SMS OTP/アプリOTPはAiTM・SIMスワップで突破され得るため、重要アカウントはフィッシング耐性のあるパスキー/FIDO2/WebAuthnへ移行する。
- SSO+条件付きアクセス — シングルサインオンに集約し、デバイス準拠・地理/不審検知・リスクベースで再認証を要求。怪しい状況ではアクセスを止める。
- OAuthアプリのガバナンスとトークン失効 — 組織が許可する連携アプリを審査制(許可リスト)にし、不要・不審な連携と発行済みトークンを棚卸し・失効できる体制を持つ。
- 監査ログ・異常検知 — ログイン・メール送信・設定変更の監査ログを取得し、不可能な移動(短時間での遠隔地ログイン)や大量送信などの異常を検知・アラートする。
- メール転送ルールの監視・制限 — 外部への自動転送ルールの作成を制限/通知し、既存の隠れ転送ルールを定期的に棚卸しする(BECの常套手段への対処)。
- Webhookシークレットの管理 — チャット連携のWebhook URLやシークレットを秘密として管理(公開リポジトリ等に置かない)、漏れたら再発行・ローテーションする。
- 退職者の即時失効 — オフボーディング時にアカウント・SSO・連携アプリ・トークン・Botを即座に無効化し、残存アクセスを残さない。
5. 解説動画(実在確認済み)
IPA(情報処理推進機構)公式。サムネイルをクリックするとYouTubeで再生(社内研修向けに動画ファイル配布もあり)。
あなたのパスワードは大丈夫? ~インターネットサービスの不正ログイン対策~(約10分)
不正ログイン(=アカウント乗っ取り)の手口と、パスワード・MFAでの守り方をやさしく解説。このジャンルの入口を理解するのに最適。
- もっと知りたい人へ(公式ページ):
- IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html
- IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
6. チェックリスト
🟢 全員
- メール・主要アカウント(チャット含む)でMFAを有効にした
- 不審ログインの通知をオンにしている
- 連携アプリ一覧を見直し、心当たりのないものを外した
- 同僚からの急なリンク/ファイルは別経路で確認する癖がついている
- 乗っ取りが疑わしいとき「パスワード変更+全端末ログアウト+報告」の手順を知っている
🔧 エンジニア・運用
- 全アカウントでMFAを必須化し、重要アカウントはパスキー/FIDO2へ移行中
- SSO+条件付きアクセス(デバイス/地理/リスク)を導入している
- OAuth連携アプリを審査制にし、トークンの棚卸し・失効ができる
- ログイン/送信/設定変更の監査ログと異常検知を有効化している
- 外部メール転送ルールの監視・制限を設定している
- Webhook/Botのシークレットを安全に管理し、ローテーションできる
- 退職・異動時にアカウント・連携・トークン・Botを即時失効する手順がある
7. 関連ジャンル・出典
関連ジャンル
- セキュリティ脅威マップ(分類ハブ)
- なりすまし・フィッシング系の攻撃と対策〔入口〕 — だまして乗っ取る最初の一歩
- クラウド設定・鍵管理系 — 鍵・トークンの置き忘れ、公開設定ミス
- 内部不正系 — 正規権限を持つ社員・退職者の持ち出し・残存アカウント
出典(一次情報)
- IPA「映像で知る情報セキュリティ」 — https://www.ipa.go.jp/security/videos/index.html
- IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/
- JPCERT/CC(不正ログイン・アカウント乗っ取り注意喚起)
- NIST / OWASP(認証・MFA・セッション管理のベストプラクティス)
