「フィッシング詐欺の海を制す」パート 1: Office 365 Advanced Threat Protection でスピアフィッシングを阻止


(この記事は 2018 年 3 月 6 日に Security, Privacy and Compliance Blog に投稿された記事 Schooling A Sea of Phish Part 1: How Office 365 Advanced Threat Protection Helps Stop Spear Phishing の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

Office 365 Advanced Threat Protection (ATP) の開発を担当しているエンジニア チームは、2016 年後半から 2017 年にかけて、以下のような取り組みに注力してきました。

  • マルウェア捕捉率 99.9% 以上を維持する
  • ファイル デトネーションにかかる時間を 60 秒未満に抑える
  • セキュリティ管理者向けの管理能力を向上させる豊富な機能をリリースする

この取り組みの結果、Office ATP は下図のような成果を挙げています。

 

Figure 1. The Office 365 Advanced Threat Protection Journey (* coming soon)

図 1: Office 365 Advanced Threat Protection のパフォーマンスと歩み (* 近日リリース予定の機能)

 

Office ATP のエンド ユーザー数は、競合製品のユーザー数の合計を上回るまでに成長し、攻撃者からも警戒されるようになりました。2017 年の脅威テレメトリによると、マイクロソフトのマルウェア捕捉率が向上するにつれて、Office 365 ユーザーを標的としたマルウェアの数は減少しています。攻撃の費用対効果が下がり、効果的なマルウェア攻撃を仕掛けにくくなったことで、攻撃者の手口も進化する結果となり、フィッシング攻撃の件数が全体的に急増しました。2017 年下半期だけでも、Office 365 が検出したフィッシング メールは 10 億件に上っています。こうした新たな攻撃は複雑さを増しており、フィッシング攻撃が設計段階で根本的に進化していることを物語っています。そのため、Office ATP と Exchange Online Protection (EOP) の従来の強力なフィッシング詐欺対策機能をさらに強化する必要に迫られたのです。新たな種類の攻撃は高度化、巧妙化しており、その多くが標的型です。このような攻撃に対して一歩先を行く対策を取り続けるために、マルウェア捕捉率の維持、ファイル デトネーションの所要時間の削減、豊富な機能の提供に注力しながら、攻撃の監視や把握、テクノロジのさらなる強化に重点的に取り組みました。来月には、新たなフィッシング攻撃の阻止を目的とした Office 365 ATP の総合的な戦略と多層型テクノロジについて発表する予定です。ぜひ Office 365 ATP の新機能をお試しいただき、フィードバックをお寄せください。フィッシングに対して 100% の有効性を保証できるソリューションはありませんが、マイクロソフトのテクノロジ フレームワークと各種機能が、押し寄せるフィッシング攻撃の波を乗り越えていくための最適なソリューションとなることを確信しています。

 

Office 365 ATP によるスピアフィッシング被害軽減のしくみ

フィッシング メールはいくつかのカテゴリに分けられ、その影響の重大度は攻撃の種類によって異なります。攻撃の種類は、悪名高い「ナイジェリアの手紙」のような一般的な詐欺から、急増している (英語) 高度な標的型のビジネス メールまで多岐にわたります (スピアフィッシングの分類は下図を参照)。ルアーの形式もさまざまで、その巧妙さは増す一方です。

 

Figure 2. Spectrum of Phishing Campaign types and Potential Phish Lures
図 2: フィッシング攻撃の範囲と想定されるルアー

 

攻撃が非常に巧妙化すると、フィッシング詐欺によるアカウントあたりの金銭的被害が高額になります。一方、一般的な攻撃では、被害額は少なくなるものの、攻撃対象となるユーザーの範囲が広がります。このように、攻撃の方位やルアーが多種多様なため、フィッシング メールを見破るのは簡単なことではありません。フィッシング詐欺対策ソリューションの効果を高めるには、幾重にも防御策を敷いて、さまざまな種類の攻撃や巧みなルアーに対処する必要があります。マイクロソフトでは、フィッシング攻撃を個別のカテゴリに分類し、メール フローを通じて攻撃の軽減を図るソリューションをご用意しています。また、配信されてくるフィッシング メールに対抗するには、フィッシング攻撃を検出してそれに対処することが重要になります。そのため、効果的なフィッシング詐欺対策ソリューションには、レポート機能や検索および削除機能も不可欠です。この記事では、偽装対策に関する最新の機能強化についてご紹介します。これらの機能により、以下の手口に対抗できます。

 

  • ドメインの偽装
  • ユーザーのなりすまし

 

偽装は、特定のグループ、個人、組織をねらったスピアフィッシングと呼ばれる標的型フィッシング攻撃でよく使用されます。これらの攻撃は対象に合わせてカスタマイズされ、受信者が思わず信用してしまうような送信者名や組織名を利用する傾向があります。スピアフィッシングはフィッシング詐欺の一種にすぎませんが、ユーザーが既知の送信者名やドメイン名だと思って信用してしまうため、攻撃に引っかかる可能性が非常に高くなります。経営陣などの幹部になりすましていることも多く、受信者がすぐに返信したり、何らかの行動を起こしたりするように誘導します。こうした攻撃による影響を軽減することが、今日の企業を保護するうえでは不可欠です。

 

Office 365 Advanced Threat Protection の偽装対策機能の強化

偽装対策機能に含まれているパラメーターを理解するには、ユーザーを巧みに騙すフィッシングのルアーとして機能するメールのコンポーネントについて知ることが重要です。図 3 は、一般的なメールにおいてフィッシング詐欺の可能性を示すインジケーターとして判断されるコンポーネントを表しています。フィッシング詐欺のインジケーターには、送信者のアドレス、送信者名、「今すぐ支払う」ボタンなどのリンクが該当します。リンクは、資格情報を収集する Web サイトにエンド ユーザーを誘導するルアーの役割を果たします。偽装の手口としては、ドメインの偽装やユーザーのなりすましなどがあります。ドメインの偽装の対象となるのは使用頻度の高いドメインです。たとえば実際のドメインが Contoso.com の場合、Ćóntoso.com のように偽装されます。2 つのドメインは酷似しているため、その違いを見逃してしまいがちです。ユーザーのなりすましもよくある手口で、送信者のメール アドレスが偽装されます。たとえば、私のメール アドレスが debrajghosh@conotos.com の場合、debbrajghosh@contoso.com のように偽装されます。これもわずかな違いであるため、受信者は気付かないことがよくあります。

 

Figure 3. Generic email with several phish indicators and potential phish lures

図 3: 一般的なメールに含まれるフィッシング詐欺のインジケーターと想定されるルアー

 

メールの偽装による影響を軽減するために、Office 365 Advanced Threat Protection では高度な偽装攻撃をブロックする強力な機能を提供します。今回、管理者エクスペリエンスが強化され、UI がシンプルになったことで、偽装対策の設定を簡単に作成、更新、変更できるようになりました。

 

Figure 4. Anti-Impersonation Policy UI

図 4: 偽装対策ポリシーの UI

 

管理者は複数のフィッシング対策ポリシーを作成し、偽装対策におけるさまざまな設定を選択することができます。設定に名前を付けた後、次の 2 つの手順で、テナントで既に定義されているドメインに加え、ユーザーとドメインをそれぞれ最大 20 個追加して、偽装から保護することができます。ここでは、受信者がすぐに返答したり要求に応じたりする立場の経営陣や役員など、組織内外の幹部レベルのユーザーを選択することをお勧めします。ドメインは、主要サプライヤーなど、組織と頻繁に取引のあるドメインを選択します。次のタブでは、指定したユーザーやドメインが偽装されたときのさまざまな対応措置を選択できます。これらの設定によって検出されたメールは、他のメール アドレスへのリダイレクト、迷惑メール フォルダーへの移動、隔離、または BCC での他のメール アドレスへの送信が可能です。さらにこのタブでは、不自然な文字が含まれているメールに対して、安全のヒントを有効または無効にすることもできます。

 

Figure 5. Choose Action For Impersonated Users or Domains

図 5: 偽装されたユーザーやドメインに対する対応措置の選択

 

次のタブは、「メールボックス インテリジェンス」です。この機能は、機械学習アルゴリズムを適用し、ユーザーの連絡先グラフをより深く理解することで、保護をさらに強化するものです。連絡先グラフとは、あるユーザーにメールを送信する可能性が高いすべてのユーザーを表示したマップで、メール フローの履歴パターンに基づいて作成されます。連絡先グラフは、特定のユーザーのメール フロー情報が蓄積されていくにつれて詳細になります。メールボックス インテリジェンスを有効にすることで、エンド ユーザーの判断ミスをより効果的に管理できます。

 

Figure 6. User Contact Graph with known senders and unknown senders

図 6: 既知の送信者と未知の送信者が表示されるユーザーの連絡先グラフ

 

フィッシング詐欺対策ポリシーの偽装に関する設定では、特定のユーザーやドメインをホワイトリストに登録し、評価対象から除外することができます。ホワイトリストに登録したユーザーやドメインは、「信頼できる」送信者やドメインとして分類され、そのユーザーやドメインから送られてきたメールは、すべての設定をパスします。偽装に関する設定は、個人、グループ、またはドメイン全体に適用することも、例外を設定することも可能です。これにより、ポリシーのカスタマイズと有効範囲の設定をきめ細かく行うことができます。設定を最適化するための推奨ヒント (機械翻訳) で、偽装対策ポリシーの設定についてご確認ください。

 

フィードバックをお寄せください

Office 365 Advanced Threat Protection の新しい偽装対策機能をお試しいただき、ぜひご意見をお聞かせください。お客様のご意見を参考に、引き続き機能強化や新機能の追加を進め、Office 365 ATP を Office 365 の主力となる高度なセキュリティ サービスにするという目標達成に向けて取り組んでまいります。Office 365 ATP をまだお使いでないお客様は、今すぐ Office 365 Enterprise E5 の無料試用版の利用を開始して、新たな脅威から組織を保護するための対策に乗りだしてください。このシリーズのパート 2 では、Office 365 ATP で強化された他のフィッシング対策機能をご紹介する予定です。

 

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

Skip to main content