セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダネットワークス > Threat Spotlight:Office 365アカウント侵害 - 新たな「内部脅威」

Threat Spotlight:Office 365アカウント侵害 - 新たな「内部脅威」
Asaf Cidon

2017年11月01日

Microsoft Office 365は、1ヵ月あたりのアクティブサブスクライバ数が1億を超えており、非常に幅広く普及しつつあります。多くの企業が、グローバルなメール交換機能として導入を進めています。同僚からメールを受け取った場合、正しいアドレスが指定されていれば、そのメールを合法的なものとして信頼するのは自然なことです。ところが、必ずしも安心はできないのです。

サイバー犯罪者は長年、できるだけ広い範囲に影響を与える攻撃を創り出そうとしてきました。最初のスパムが登場してから、ソーシャルプラットフォーム上のトピック検索やとレンディングトピックに至るまで、サイバー犯罪者はユーザの興味の対象を追ってきました。そして今やOffice 365は、非常にパーソナライズされた巧妙な攻撃の格好の標的になっています。

今月のThreat Spotlightでは、ここのところ増加しているOffice 365アカウント侵害を取り上げます。攻撃者はログイン資格情報を窃取し、組織に侵入して攻撃を仕掛けます。では、この攻撃について詳しく説明しましょう。

攻撃の特徴:

Office 365アカウント侵害 - Office 365ユーザ資格情報を窃取し、内部アカウントを使って攻撃を仕掛けます。

詳細:

フィッシングには、厚かましい要求、スペルミス、不審な添付ファイルなどが含まれていることが多く、簡単に見分けることができます。ところが次のように、巧妙に細工してパーソナライズされた攻撃の場合、識別は格段に難しくなります。

下の図で示したメールは、一見すると何の変哲もない内容のように見えます。これは、Microsoftから送信されたメッセージであり、Office 365アカウントのアクティベーションを再実行するように指示しています。

警告は1つだけであり、強引な指示ではありません。

  • ・「ユーザアカウントが停止状態になっている」と通知していますが、Office 365アカウントではあまり発生しない状態です。
  • ・このような不審なメールを受信したら、IT部門に問い合わせる必要があります。

このメッセージを受け取ったユーザが指示通りの操作を行ったとしたらどうでしょうか。

この攻撃の目的は、Office 365の資格情報を窃取してアカウントを乗っ取ることにあります。メッセージのリンクをクリックすると、細工したページに誘導され、資格情報の入力を指示されます。入力すると、攻撃者はログイン資格情報を使ってアカウントにアクセスします。

これ以降の攻撃には、いくつかのシナリオが考えられます。

一般的なシナリオは、アカウントの転送ルールの設定です。これにより、社内外のユーザとのコミュニケーションパターンを識別し、そこから得た情報に基づいてランサムウェアなど高度な攻撃を仕掛けてくるでしょう。

また、社内の従業員に細工したメールを送信し、資格情報や機密情報を収集するシナリオも考えられます。このようなメールに従業員はすぐ返信する傾向があるので、攻撃者は短期間で成果を上げることができます。

  • ・効果的な方法の1つが、PDFファイル添付です。この攻撃は、同僚がドキュメント(PDFファイル)を添付したメールを送ってきたように見えます。メール本文に簡単な指示が記載され、ファイルにはメールアドレスとパスワードでアクセスできるようになっています。
  • ・また、請求書を送信して資格情報を窃取する方法もあります。指示されたWebポータルにログインすると、偽の請求書が表示されます。
  • ・内部者による脅威は、資格情報を狙ったものばかりではありません。攻撃者は、送金や機密情報(従業員の税務情報など)の転送を「今すぐ」実行するように要求します。

Office 365は比較的新しいツールですが、ユーザ数が増加しているので、標的として狙われやすいといえるでしょう。

以下に、Office 365アカウント攻撃についてまとめます。

  • ・スピアフィッシング:攻撃者はメールを送信します。リンクをクリックすると、Office 365の資格情報をリセットするプロンプトが表示されます。
  • ・アカウントの窃取:攻撃者は、窃取したユーザ資格情報を使って、新しい攻撃を仕掛けます。
  • ・「内部者」のなりすまし:社内の従業員になりすまし、メールを送信します。

対策:

ユーザトレーニングと意識向上 — 継続的にトレーニングとテストを実施し、さまざまな攻撃に対する意識を向上します。攻撃のシミュレーションは、最も効果的なトレーニングです。

 多要素認証 — Office 365は多要素認証に対応していますが、拡張機能が付属するAzureの多要素認証の購入もお勧めします。

リアルタイムのスピアフィッシングとサイバー詐欺への対策Barracuda Sentinelは、社内の通信履歴をAIで学習し、スピアフィッシング攻撃に対抗するクラウドサービスです。人工知能エンジン(スピアフィッシング攻撃をリアルタイムで阻止し、ハイリスクなユーザを特定)、DMARC認証によるドメイン詐欺の可視化(ドメインスプーフィングとブランドハイジャックに対抗)、詐欺シミュレーショントレーニング(社内の高リスクユーザを対象)という3つの高機能レイヤで構成されます。

 参考資料:

Threat Spotlightの他の記事:


アサフ・シドン(Asaf Cidon)、バラクーダネットワークスのコンテンツセキュリティサービス担当VP
アサフ・シドン(Asaf Cidon)は、バラクーダネットワークスのコンテンツセキュリティサービス担当VPです。Barracuda Sentinelチームのリーダーとして、フィッシング/サイバー詐欺にリアルタイムで対抗するAIソリューションの開発に取り組んでいます。Barracuda Sentinelは、人工知能を使ってユーザの企業内で発生するコミュニケーションのパターンを特定し、異常の検出や個人を標的にした攻撃対策を行います。アサフは、クラウドストレージセキュリティ分野のスタートアップであるSookasaのCEO兼共同設立者であり、バラクーダネットワークスによる買収を契機にバラクーダネットワークスに入社しました。スタンフォード大学でクラウドストレージの信頼性とパフォーマンスに関する研究に携わり、博士号を取得しています。また、GoogleのWeb検索エンジニアリングチームの一員として活躍した経験もあります。スタンフォード大学において電気工学の博士号と修士号を取得し、イスラエル工科大学においてコンピュータエンジニアリングの学士号を取得しています。

アサフにつながりたい方は、LinkedInからどうぞ。


*本内容はBarracuda Product Blog 2017年 8月30日 What Can We Learn from a Summer of Ransomware? を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT