Back to Blog

90日間、400万件の

Microsoft Office 365アカウント

から見えてきたこと

By
Vectra
|
October 13, 2020

Vectra AI社は、「2020年 Office 365 スポットライトレポート2020 Spotlight Report for Office 365)」(日本語サマリー版)を発表しました。分散型ワークフォースの拡大と、リモートワーカーに対応するためのクラウドベースのアプリケーションの急速な普及に伴い、Microsoft Office 365は、2億5,800万人以上のOffice 365ユーザーと7,500万人以上のTeamsユーザーを擁する、世界で最も広く利用されている生産性アプリケーション群の1つとなっています。

今回のスポットライトレポートは、2020年6月から8月に渡り400万人以上のアカウントで観測されたデータを基にしています。この間、Vectra AI社はOffice 365の環境内での広範なラテラルムーブを発見し、クラウドにおける脅威が急激に増加していることを把握しました。詳細な分析については、サマリー版のレポートをご覧ください。

メールやユーザーアカウントは、サイバー攻撃者がネットワークに侵入するための突破口として頻繁に利用されます。Vectraの調査によると、アクセスを得た攻撃者は、Microsoft Power AutomateやeDiscoveryなど、クラウド環境に組み込まれたツールを利用してラテラルムーブをしていることが明らかになっています。

リモートワークが今後も増加すると予測される中、攻撃者は人間の振る舞いを悪用し、クラウドが提供する正当なツールを利用して、ターゲットとなる組織内に足がかりを作り、検出されないようにするという傾向は今後も続くと予想されます。    

主な調査結果

今回のスポットライトレポートでは、Cognito Detect for Office 365の導入に関する分析結果を基に、攻撃者がどのようにOffice 365のネイティブサービスを利用して攻撃を可能にしているかを明らかにしています。

レポートのハイライトは以下の通りです。

  • 顧客サンプルのうち96%でラテラルムーブが観測された
  • 顧客サンプルのうち71%でOffice365 Power Automateの不審な振る舞いがあった
  • 顧客サンプルのうち56%でOffice365 eDiscoveryの不審な振る舞いがあった
  • Power AutomateとeDiscoveryを使用して、悪意のあるC&C(コマンド&コントロール)を作成して自動化し、データの流出を行う方法
  • 攻撃者がMicrosoftのフェデレーション サービス認証を利用して、多要素認証(MFA)と組み込みのセキュリティ制御を迂回する方法
  • 中堅メーカーと大学のケーススタディ:VectraのCognitoネットワーク検出および応答(NDR)プラットフォームが、ビジネスメールの侵害やフィッシングキャンペーンの実例をどのように特定し、ブロックしたのか

さらに、本レポートでは、指定された3ヶ月間で発生したOffice 365における最も一般的な「疑わしい振る舞い」のトップ10を評価しています。また、この調査結果を分析することで、ユーザーデータの不正使用を迅速に特定し、Office 365などのSaaSアプリケーション内でどのように特権を利用しているかを理解することの必要性をまとめています。

2020年 Office 365 スポットライトレポート2020 Spotlight Report for Office 365)」は、攻撃を発見し、セキュリティ担当がラテラルムーブを行うためにインストールされた有害なプリンシプルを阻止する際にNDRが何をできるかその価値も述べています。

エージェントなしでさらに数分で導入できるCognito Detect for Office 365は、攻撃者の振る舞いを自動的に識別して優先順位を付け、調査を合理化し、プロアクティブな脅威ハンティングを可能にします。Cognito Detect for Office 365は、最初の90日間で400万以上のアカウントを保護、導入、展開されました。

英語版レポートはこちらからお問い合わせください。また、デモのご予約はこちらからお願いします。

Tags: