Office 365 で最新型のフィッシング攻撃に対抗


(この記事は 2018 年 3 月 7 日に Microsoft Secure Blog に投稿された記事 How Office 365 protects your organization from modern phishing campaigns の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

今回は、Microsoft 365 セキュリティ担当シニア プロダクト マーケティング マネージャーを務める Debraj Ghosh の記事をご紹介します。

Office 365 に統合された脅威防止スタックのメリットについては、これまでにも折に触れて言及してきましたが、今回の記事では、Office 365 の脅威管理スタックの機能とサービスの組み合わせにより、企業における潜在的なフィッシング攻撃に対する保護、検出、対応を行う方法について詳しくご説明したいと思います。フィッシングとは、資格情報や個人情報 (PII) の収集を目的として設計されたソーシャル エンジニアリング型の攻撃を指す用語です。攻撃者は、さまざまな戦略を使って、受信者に正規の送信元からのメールだと信じ込ませようとします。フィッシング詐欺メールは、緊急の用件であるかのように装い、受信者にメールに記載された行動を取らせるものが一般的です。フィッシング詐欺メールには、以下のようにさまざまな形式のものが存在します。

  • スプーフィング: 送信ドメインが正規の企業と一致するメール
  • なりすまし: 特定のユーザー、ドメイン、ブランドから送信されたように見せかけたメール
  • コンテンツベースの攻撃: 悪意のあるリンクや添付ファイルが含まれるメール

この記事では、Office 365 の脅威防止サービスにより、最先端のフィッシング攻撃に対して包括的なエンドツーエンドの保護を提供するしくみについてご紹介します。

エンドツーエンドのセキュリティの重点領域

Office 365 の脅威防止スタックは、フィッシング攻撃を防止するための豊富な機能と、効果的かつ効率的にフィッシング攻撃を検出しそれに対応するためのセキュリティ チーム向けの機能を組み合わせたものです。具体的には以下のとおりです。

  1. 保護: Office 365 のセキュリティ サービスを設定、構成してエンド ユーザーのセキュリティを確保します。
  2. 検出: テナントに侵入した脅威の有無やその影響範囲を判断します。
  3. 対応: 脅威や攻撃を修復し、テナントを「安全で脅威のない」状態に戻します。

保護

マイクロソフトの保護対策はまず、企業に影響が及ぶ前に攻撃を排除するためのビューに力を入れることです。Office 365 では、フィッシング攻撃に対応するリッチで堅牢かつ包括的な多層型のソリューションが提供されます。図 1 は、Office 365 で活用しているフィッシング対策スタックを示したものです。メール フローの保護段階では、すべてのメールに対して行われる認証に合格する必要があります。この認証には、SPF、DMARC、DKIM といった明示的なスプーフィング対策フレームワークが含まれます。また、メールの信頼性を判断する追加の機械学習モデルをベースに構築された黙示的な認証にも合格する必要があります。さらに、新たにリリースされた偽装対策機能では、高度な標的型のスピアフィッシング詐欺メールにフラグを設定することが可能で、添付ファイル、リンク、画像といった形式のコンテンツが検証されます。また、添付ファイルやリンクのデトネーションにより、悪意のあるコンテンツの有無も検証されます。近日中には、社内向けの安全なリンク機能をリリースし、ハッキングされたユーザー アカウントからの保護を実現する予定です。

 

図 1: Office 365 の脅威防止フィッシング対策スタック

 

Office 365 の脅威防止スタックでは、ユーザーのトレーニングを行い、企業に影響を及ぼすさまざまな脅威シナリオに対して注意を促す機能も提供されます。パブリック プレビュー中の攻撃シミュレーター (英語) は、Office 365 脅威インテリジェンスをご利用のお客様に提供される新機能です。攻撃シミュレーターで当初から利用できる脅威シミュレーションの 1 つに Display Name Spear Phishing Attack (表示名 - スピアフィッシング攻撃) があります。スピアフィッシングはフィッシング攻撃の一種で、多くの場合、特定のグループ、個人、企業を標的とします。スピアフィッシング攻撃はカスタマイズされ、受信者の信頼を得るために、送信者名または共通ドメインを利用する傾向にあります。攻撃シミュレーターでは、Office 365 脅威インテリジェンスのシグナルを活用することで、社内で最も頻繁に標的となり、最も脆弱な可能性のあるユーザーが表示されます。管理者は、そのユーザーを対象とした脅威のシミュレーションを開始することができます。これにより、最も頻繁に標的となるユーザーに対して、フィッシング詐欺メールの識別方法に関するトレーニングを実施します。管理者は攻撃を受けた際のユーザーの行動を把握し、ポリシーの更新とセキュリティ プロトコルを最適化できます。図 2 は、攻撃シミュレーターで作成されたフィッシング詐欺メールのシミュレーション例です。

 

図 2: 攻撃シミュレーターで作成されたスピアフィッシング詐欺メールの例

 

お客様は、攻撃シミュレーターのメリットを活用し、悪意のあるメールを特定できるようにエンド ユーザーのトレーニングを行うことができます。このトレーニングの重要なポイントの 1 つは、ハイパーリンクに設定された URL を確認することです。今年リリースされる「Native Link Rendering」機能では、エンド ユーザーがメールに含まれるハイパーリンクをマウスでポイントすると、リンク先のアドレスを表示することができます。実際のリンク先を確認することで、そのリンクが信頼できるものなのか、悪意のあるサイトにリンクしているのかを判断するうえで重要な指標が提供されるため、有用な機能です。図 3 は、Native Link Rendering を使用して、ユーザーがメール本文に含まれるリンクを確認する方法を示したものです。

 

図 3: Native Link Rendering

 

Office 365 Advanced Threat Protection (ATP) のユーザーが悪意のあるリンクをクリックした場合、ATP の安全なリンク機能によってクリック時の保護が適用されます。これは、図 1 の「Post Delivery Protection (配信後の保護)」層に含まれる機能です。今日の高度な脅威の多くは、ある種のリンク モーフィングを活用しているため、ATP の安全なリンク機能 (機械翻訳) によるクリック時の保護は重要です。このようなメールに含まれるリンクは、最初は無害で、基本的なセキュリティ フィルターを通過しても検出されません。これらのフィルターを通過すると、リンク先が悪意のあるサイトに変化します。そのため、こういった脅威からユーザーを保護するためには、クリック時の保護が不可欠なのです。

悪意のあるリンクの可能性があるとエンド ユーザーが判断した場合は、分析用としてメールをマイクロソフトに直接送信することができます。管理者は [Report Message (英語)] アドイン (図 4) を有効にする (機械翻訳) ことをお勧めします。このアドインを使用して、エンド ユーザーは不審なメールをマイクロソフトに直接送信できます。マイクロソフトのセキュリティ エンジニアリング チームの 3,500 名以上のエンジニア (英語) がメールを確認し、実際に悪意のあるものかどうかを判断します。悪意のあるメールに分類した場合、そのメールの新しいインスタンスにはフラグが設定され、すべての Office 365 テナントでブロックされます。

 

図 4: [Report Message] ボタン

 

マイクロソフトは、エンド ユーザーがメッセージを直接報告できる機能を提供することで、脅威のテレメトリと詳細情報を短期間で充実したものにし、すべてのお客様の保護範囲を拡大することができます。実際に、すべての Office 365 ライセンスで利用できる Exchange Online Protection (EOP) のセキュア メール ゲートウェイ サービスを使用しているお客様は、マイクロソフトのエコシステム全体にわたる強力な統合とシグナル共有のメリットを活用できます。

配信後のフィッシング対策機能として もう 1 つ重要なのがゼロアワー自動消去 (ZAP) です。この機能により、マイクロソフトが発見した悪意のあるメールのすべてのインスタンスが迷惑メール フォルダーに移動されます。これは、ユーザーの受信トレイに届いた後でも有効です。このプロセスは迅速に行われ、当初は悪意のあるメールに分類されなかったものの、Office 365 ATP (または Windows Defender Advanced Threat Protection などの Windows プラットフォームのサービス) によってフラグが設定されたメールは、ZAP によって迷惑メール フォルダーに移動されます。この新しい脅威テレメトリは、マイクロソフトのインテリジェント セキュリティ グラフと統合され、新たに悪意のあるメールに分類された今後のインスタンスはマイクロソフトのエコシステム全体でブロックされます。エンド ユーザーから直接送信された脅威テレメトリを継続的に活用し、短期間ですべてのお客様の保護を強化することで、セキュリティを進化させ、変化する脅威に対して先手を打つことができます。

 

図 5: EOP ZAP による保護

検出

新たにリリースされた ATP のリアルタイム レポート (英語) には、自社のテナントを標的とし、Office 365 によってブロックされた悪意のあるメールがすべて表示されます。管理者は ATP を使用して、エンド ユーザーが、脅威の可能性があるというフラグを設定して送信したすべてのメールを確認することもできます。[User-reported] 脅威ビュー (図 6) では、管理者がメールの送信者、インスタンス数、受信したユーザー数を確認できます。企業のセキュリティ チームが悪意のあるメールを特定し、潜在的な脅威と影響について調査をトリガーできるため、エンド ユーザーが送信したメールを表示する機能は非常に有用です。これらのレポートを組み合わせることで、管理者やセキュリティ チームは自社を標的とする多種多様なフィッシング攻撃を包括的に把握できます。[User-reported] ビューに表示されるインスタンスは、さらなる分析用としてマイクロソフトにも送信されます。

 

図 6: ユーザー送信レポート

対応

ここまでは、Office 365 で多層型のアプローチを使用してフィッシング攻撃から企業を保護する方法についてご説明してきました。Office 365 脅威インテリジェンスでは、脅威防止スタックを完成させるため、企業への攻撃をより効果的かつ効率的に調査、対応、修復できる機能も提供されます。実際に、マイクロソフトの IT 部門が Office 365 脅威インテリジェンスの利用を開始して以来、ソーシャル エンジニアリング型のインシデントの平均解決時間は 80% 短縮され、ケースの処理量は月間 37% 増加しました。多くの企業は、自社に対する脅威の影響を評価するためにセキュリティ運用チームを設置しています。セキュリティ/コンプライアンス センターの脅威エクスプローラー機能を使用すると、セキュリティ アナリストや管理者が悪意のある可能性のあるメールのすべてのインスタンスを検索できます。脅威の調査と修復を効率化するための専用のバックエンドにより、脅威エクスプローラーでは悪意のあるメールを迅速かつ簡単に特定できます。図 7 に示すように、脅威エクスプローラーには、[Sender (送信者)]、[Recipients (受信者)]、[Subject (件名)] といったフィルターおよび検索オプションが多数用意されており、悪意のあるメールを見つけることができます。[User-reported] 脅威ビューから、管理者はメールの送信者を確認できます。フィッシング攻撃の一環として送信されたメールは多くの場合、一意のアドレスから送信されるため、これは重要な機能です。脅威エクスプローラーでは、管理者が [Sender] で絞り込みをかけ、特定のメール アドレスから送信されたすべてのメールを検索できます。このフィルターを適用すると、脅威エクスプローラーに一意のアドレスから送信されたすべてのメールが表示されます。その後、脅威エクスプローラーの下部にあるメッセージの一覧から、調査が必要な特定の送信者からのメールをすべて選択できます。

 

図 7: 脅威エクスプローラー

 

調査するメールを選択したら、管理者は図 8 に示すように、[Move to junk (迷惑メールに移動)]、[Move to deleted items (削除済みアイテムに移動)]、[Soft delete (論理的に削除)]、[Hard delete (物理的に削除)]、[Move to inbox (受信トレイに移動)] など、そのメッセージに対して可能なさまざまなアクションを選択できます。アナリストはアクションを簡単にトリガーし、社内のすべてのメールボックスから悪意のあるメール攻撃を消去したり、マネージャーからアクションの承認を得るためにインシデントをキューに追加したりできます。

 

図 8: アクションのトリガー

 

一般的なセキュリティ問題については、管理者が定期的にチェックして、フィッシングやその他の問題が発生していないかどうかを確認する必要があります。イベントの確認、アラートの取得、脅威のトレンドの判断、レポート生成などを行う場合、Office 365 脅威インテリジェンスの脅威トラッカーを使用すると、セキュリティ タスクを継続的に監視することができます。図 9 に示すトラッカーの [Saved query] 機能では、よく使用する検索条件を保存できるため、管理者はエクスプローラーで常に一貫したイベント セットにすばやく移動できます。継続的な監視を行う必要がある場合は、クエリの追跡を設定して、フィッシング、マルウェア、その他のセキュリティ イベントに関するトレンド情報を取得することができます。

 

図 9: Office 365 脅威インテリジェンスにエクスプローラーのクエリを保存

Office 365 Threat Protection

マイクロソフトは長年にわたり、お客様のセキュリティを確保するために重点的に取り組んできました。この数年は、サイバー犯罪のレベルの向上に伴い、さまざまな種類の攻撃や脅威からお客様を保護するために、高度なセキュリティ ソリューションの開発と継続的な機能強化にも今まで以上に力を入れています。今回のフィッシングのシナリオでは、エンジニアリング セキュリティ サービスへの継続的な取り組みの一部をご紹介しました。これにより、エンド ユーザーには最新型の脅威に対する高度な保護が提供されると共に、管理者には最大限の制御性と自社のセキュリティ要件に対する柔軟性を備えた強力なツールセットが提供されます。ぜひ Office 365 E5 の試用版にサインアップして、すべての Office 365 ユーザーを対象とする優れた保護機能をお試しください。また、皆様からのフィードバックもお待ちしております。お寄せいただいたご意見を基に、引き続き、企業のセキュリティを維持するために必要な新機能や機能強化の提供に努めてまいります。

 

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。


Skip to main content