2つのケーススタディ：Microsoft Office 365 のセキュリティ

2020年は異例の年となりました。リモートワークへの移行や、Microsoft Office 365をはじめとしたクラウドベースのサービスの利用が増加したことで、私たちの働き方、勤務場所、コミュニケーションの方法が大きく変わってきています。

2020年10月8日から9日の間にイギリスの成人1,097人を対象にしたオンライン調査（Vectra AI社の依頼でYouGov社が実施）によると、在宅勤務が可能でOffice 365／Microsoft 365を利用している人の70％が、新型コロナウイルス感染症が落ち着いた後も在宅勤務という働き方は変わらないか、さらに増加するであろうと予想していることが明らかになりました。他の先進国でも同様の結果になるのではないかと予想します。

このような変化は、組織が保護すべき対象を明らかに変えようとしています。数ヶ月前にCognito Detect for Office 365をリリースしたことで、世界で最も利用されているSaaSアプリケーションであるOffice 365に対して最近の変化がどのような影響を与えているかを理解できるようになりました。6月から8月にかけて、400万アカウントのデータを収集し、Office 365エコシステム内で発生する疑わしい振る舞いや攻撃の性質を理解するためのデータセットを得ています。

その結果を「2020年 Office 365 スポットライトレポート（2020 Spotlight Report for Office 365）」にまとめ、攻撃者がどのようにしてOffice 365に組み込まれているツールやサービスを活用して攻撃を実行しているかを明らかにしました。また、分析の一環として、攻撃者がOffice 365の内部でどのように活動しているかのケーススタディも取り上げています。

‍

金融詐欺未遂

この中堅メーカーに対する攻撃のケースではまず、LinkedInを使ってターゲットを特定し、財務部門に狙いを定めました。そしてOffice 365のアクセス権を手に入れるために、多要素認証（MFA）を機能させることができないレガシーなプロトコルを標的にした、ローアンドスロー（low-and-slow）の総当たりスイープ（brute-sweep）攻撃が行われました。

内部に攻撃者が侵入すると、DocuSignや請求書に関連する全てのEメールを転送するようルールを設定したことから、財務を標的とした詐欺行為であることが明らかになりました。さらに攻撃者は、パスワードやセキュリティに関する全てのEメールを自動的に削除するという、攻撃の証拠を隠蔽するためのルールを設定し、発見されることを巧妙に回避していました。

Vectra製品を使い、様々な段階で攻撃をリアルタイムに検知することで、Eメールが企業の外部に送信される前に、セキュリティチームが転送ルールを削除し、パスワードを変更することができるようにしました。

その結果として総当たり攻撃（Brute force）、不審なサインオン、リスクの高いExchangeの操作、不審なメール転送を攻撃の主な段階と指標として特定しました。

‍

医療研究の盗難

大学の医学研究部門が、無料のカレンダー最適化および時間管理アプリのフィッシング詐欺の標的にされたケースを紹介いたします。

研究大学に所属する人がこのアプリを利用したところ、不正なOAuthアプリがインストールされ、MFAを回避し、気付かない間にOffice 365の完全なアクセス権を提供してしまいました。攻撃者は、このアクセス権を利用して、フィシングEメールを大学の内部に送信しました。信頼されているIDとコミュニケーションの優位性を活かすことでさらに不正行為を拡散させたのです。1通のフィッシングメールで、攻撃者はネットワーク内に侵入し、ラテラルムーブを行うことができたのです。

Vectra製品は、不審なアプリのインストレーションを検知し、さらに調査の過程で、内部でスピアフィッシングが発生していることも発見しました。同大学のセキュリティチームは、不正なアプリを削除することで、攻撃者を排除することができました。

‍

ケーススタディから学ぶこと

認証情報の悪用は、月間2億人以上のユーザーを抱えるOffice 365に対するサイバー攻撃の代表的な手法です。ずる賢い攻撃者は、人間の振る舞いを悪用してパスワードを乗っ取り、さらにアカウントを乗っ取ることで重要なビジネスデータを盗み出します。そこで逆に、セキュリティチームがOffice 365などのSaaSの正常な状態に関する確かな情報を把握することで、悪意のある振る舞いや特権の乱用を容易に識別し、阻止することが可能となるのです。

ここに上げたケーススタディはいずれも、Office 365 サービスが攻撃者によって操作され、悪用された方法を示しています。また、これらの組織のネットワーク内に侵入した場合、攻撃者は既存のツールを利用して発見を回避しようとしていました。

幸いなことに、これらの攻撃は、Cognito Detect for Office 365が不審な振る舞いを検知し、組織にアラートを発することで抑制されました。Vectra AI社のAI由来の機械学習アルゴリズムは、これらのセキュリティチームに攻撃を食い止め、被害や盗難を回避するために必要な情報を提供しました。

Vectra Cognito Detect for Office 365は、攻撃者の振る舞いを自動的に検出して優先順位をつけ、調査を加速し、積極的な脅威ハンティングを可能にすることで、Microsoft Office 365セキュリティのコントロールを取り戻し、しつこく攻撃を続けるOffice 365ハッカーからお客様を守ります。

詳細は「2020年 Office 365 スポットライトレポート（2020 Spotlight Report for Office 365）」（サマリー版、事例）をぜひご覧ください。また、Vectra Cognitoプラットフォームやその他の製品についてのお問い合わせ、デモのご依頼はこちらまでお願いします。

‍