攻撃者が使用する Office 365ツールと オープンサービス

Vectra AI社が発表した「2020年 Office 365 スポットライトレポート（2020 Spotlight Report for Office 365）」（サマリー版）の調査の中で、攻撃者が使用しているクラウドベースのアプリケーション内のツールやサービスを特定しています。90日間、400万件のOffice 365アカウントを観察することで、組み込みのOffice 365機能を悪用した攻撃者のテクニックに関連した疑わしくハイリスクな振る舞いを特定することができました。

この調査は、新型コロナウイルス感染症の拡大を受けて、リモートワークへの以降が加速し、さらにMicrosoft Office 365のようなSaaSプラットフォームの日常的なデジタルワークスペースとしての採用が増加している中で行われました。Office 365 は分散型労働においてプライマリ・ドメインを提供し、データや情報の中央リポジトリとしての役割を果たす一方で、攻撃者にとって主要な攻撃のターゲットとなっています。

多要素認証（MFA）は、侵害の可能性を減らすための最善のテクニックですが、Office 365への侵害は依然として発生しています。MFAによるセキュリティ対策だけでは、悪意のあるしつこい攻撃を抑止するには十分ではありません。これらの攻撃の中でも、アカウント乗っ取りによる侵害は最も急速に増加し、発生数も最も多く、風評被害や財務的な損害は増加の一途を辿っています。

‍

Office 365における攻撃者の振る舞い

攻撃者がOffice 365環境に足がかりを得た後、以下のような共通のテクニックを行う可能性があります。

1. Eメール、チャットの履歴、ファイルを検索し、パスワードや興味あるデータを見つけ出す。
2. 転送ルールを設定して、再度サインインしなくても、定常的にEメールのストリームにアクセスできるようにする。
3. 信頼あるコミュニケーションチャネルを悪用 － CEOのEメールのスプーフィング（なりすまし）ではなく、CEOからのEメールとして送られ、社員やお客様、あるいはパートナーをソーシャルエンジニアリングの手法で操る。
4. 多くの人が何の疑いもなく利用するドキュメントに、マルウェアや不正なリンクを埋め込むと同時に、この信頼関係を利用して、警告を発信する防御コントロールを回避する。
5. 身代金を目的に、ファイルやデータを盗んだり、拘束したりする。　

どうやって攻撃するのか？

スポットライトレポートでは、Office 365のサービスの中で、特に3つのサービスが攻撃者にとって有用であることがわかりました。OAuthは足場の確立と永続的なアクセスを得るために、Power AutomateはC&C（コマンド＆コントロール）とラテラルムーブメントのために、eDiscoveryは偵察とデータ流出に利用されているのです。

1. OAuthは、アクセス認証のためのオープンスタンダードです。サードパーティーのアプリケーションは、Office 365のログインサービスと、ユーザーに紐付けられた認証情報を使って、OAuthによるユーザー認証を行います。ウェブAPIを含む保護されたリソースにアクセスできるデバイスにインストールされたアプリを通して、OAuth認証コードが使われてしまうことがあります。攻撃者は、OAuth 対応の悪意あるAzureアプリケーションを利用して、Office 365のユーザーアカウントに対して永続的にアクセスしてしまいます。
2. ユーザーは、Microsoft Power Automateを使って、Office 365のアプリケーション連携や自動ワークフローをカスタムで作成できます。これはデフォルトで有効化されており、何百ものサードパーティーのアプリケーションやサービスに対するコネクタが含まれています。ただし、データの情報漏洩対策（DLP）を含むセキュリティポリシーを回避することができてしまいます。このPower Automateは、その有用性や利便性により、攻撃者が不正なC&Cやラテラルムーブメントといった振る舞いを行う上での格好のツールとなる可能性があります。
3. Microsoft eDiscoveryは、Office 365のアプリケーションやデータ全体を検索し、結果をエクスポートするための電子情報開示ツールです。攻撃者は、eDiscoveryを強力な内部偵察およびデータ流出のためのツールとして悪用します。Microsoft Outlook、Teams、SharePointやOneDrive上に存在する全てのファイル、そしてOneNoteノートブック内に存在する、「password」や「pwd」を 1つのコマンドだけで、検索できる状況を想像してみてください。

さらに、攻撃者は、Azure Active Directory、Exchange、SharePointに見られる脆弱性も利用することができます。攻撃者は、通常のアカウント取得後に特権をエスカレートし、管理者レベルの操作を実行することができます。また、攻撃者が、機密の役割にプロビジョニングされたアクセス権を持つことで、システムへの冗長なアクセスを作り出すことができます。

これは、Office 365 サービスが簡単に侵入できるということではなく、ユーザーに割り当てられた権限とその使用方法が問題なのです。セキュリティチームは、Office 365のようなSaaSアプリケーション内で、エンティティがその権限を実際にどのように利用しているのか、つまり「観察された権限」を説明できる、詳細な状況を把握しなければなりません。

プライバシー保護のために全てのデータペイロードを見なくても、ユーザーがどのように、どこからOffice 365リソースにアクセスしているかを、理解できるようにするということです。これは、使用パターンと振る舞いの問題であり、静的なアクセス権の問題ではないのです。

リスクを軽減するためにすべきこと

1. 正規のユースケースを持たないOffice 365ユーザーから、使用を制限したり、内部のPower Automateライセンスを削除すること。
2. Office 365のDLPを見直し、「ビジネスゾーン」を設定しPowerAutomateのビジネスデータへのアクセスを制限すること。
3. 正当なユースケースがあるOffice 365へのeDiscoveryへのアクセスを制限すること。
4. リアルタイムの脅威検出と対応を可能にし、Office 365ツールやサービスの不審な使用や悪意のある使用を特定すること。

ユーザーアクセスの不正使用が現実世界の攻撃で蔓延していることを考えると、ユーザーアクセスの不正使用を監視すること重要視されるべきです。現在のサイバーセキュリティが置かれている状況では、MFAのようなセキュリティ対策だけでは、攻撃者を抑止するには十分ではありません。Office 365をはじめとするSaaSプラットフォームは攻撃者のラテラルムーブメントを行うのに安全な場所となっており、このことからもアカウントやサービスへのユーザーアクセスに焦点を当てることが最も重要になります。セキュリティチームがOffice 365などのSaaSの正常な状態に関する確かな情報を把握することで、悪意のある振る舞いや特権の乱用を容易に識別し、緩和することが可能となります。

Vectra Cognito Detect for Office 365は、エージェントを使わずに数分で導入でき、Office 365の攻撃対象を可視化することができます。さらに以下のことが可能になります。

1. 複数回のログイン試行に失敗した後に成功するなど、疑わしいアカウントのアクティビティを検出し、両方のシナリオでどのアカウントが使用されていたかを検出します。
2. Power Automateフローの作成、新しいアカウントの追加、悪意のあるアプリケーションのインストールに注意。
3. グループへのユーザーの追加を含む、特権のエスカレーションを発見します。

Office 365に関するVectra AI社の「2020年 Office 365 スポットライトレポート（2020 Spotlight Report for Office 365）」では、攻撃を発見し、セキュリティチームがラテラルムーブのために設置された有害な原則を阻止するために、ネットワーク検出および応答（NDR）が何をできるのかとその価値を実証しています。

Office 365に関する2020年スポットライトレポートをぜひお読みください。またご質問や不明点、デモのリクエストがありましたら、当社までお問い合わせください。

‍