攻撃者がビジネスメールを使ってOffice 365を侵害する方法

攻撃者がビジネスメールを使ってOffice 365を侵害する方法

攻撃者がビジネスメールを使ってOffice 365を侵害する方法

攻撃者がビジネスメールを使って

Office 365を侵害する方法

攻撃者がビジネスメールを使って

Office 365を侵害する方法

By:
投稿者:
Vectra
December 3, 2020

FBIは最近、サイバー攻撃者が自分たちの活動を隠すために、ウェブベースのメールクライアントを狙って自動転送ルールを割り当てているという「Private Industry Notification」(PIN)を発行しました。この方法を使うとその可視性の低さから、ビジネスメール詐欺(BEC)を容易に行えてしまう可能性があります。

実際にこれは大変深刻な問題です。米国インターネット犯罪苦情センター(IC3)は、昨年、BECによる被害により、全世界で17億ドル以上の損失があったと報告しています。

この問題はOutlookメールクライアントやExchangeメールサーバーを含むMicrosoft Office 365アカウントに対しても発生しています。月の契約者が2億人以上いるOffice 365は、サイバー犯罪者にとって絶好のターゲットとなっており、毎月、Office 365を利用する組織の30%が攻撃者の犠牲になっています。

Office 365は、新しい分散型ワークフォースにおいて業務を行うための主要なドメインを提供すると同時に、情報の中央リポジトリであり、攻撃者の目線から見ると格好のターゲットなのです。

攻撃者はマルウェアの代わりに、Office 365にデフォルトで用意されているツールや機能を利用して、数ヶ月間潜伏します。メールの転送は、心配すべきテクニックの一つに過ぎません。攻撃者がOffice 365環境に足がかりを得た後、以下のようなことが起こります。

- メール、チャットの履歴、ファイルを検索し、パスワードなどの有用な情報を探す。

- 転送ルール設定を行うことで、再度サインインすることなく、常にメールにアクセスできるようにする。

- CEOのメールアドレスから不正なメールを送信するなど、信頼できるコミュニケーションチャネルを乗っ取ることで、従業員や顧客、パートナーをソーシャルエンジニアの手法で操る。

- 信頼性の高いドキュメントに、マルウェアや不正なリンクを埋め込み、警告を発する予防策を迂回するように人々を操る。

- 身代金を目的に、ファイルやデータを盗んだり、暗号化したりする。

Vectra AI社の調べによって、Office 365に対して行われている攻撃手法トップ10の中で、不審なメール転送が8番目に多い悪質な行動であることがわかりました。

現実世界でもOffice 365 のアカウント権限の悪用が蔓延していることを考えると細心の注意が必要です。多要素認証(MFA)のようなセキュリティ対策では、現在の新しいサイバーセキュリティ領域において攻撃者を止めることはできません。

Office 365や他のSaaSプラットフォームは攻撃者がラテラルムーブを容易にできるため、ユーザーがクラウド環境でアプリケーションやサービスにアクセスする際のアカウント権限の乱用を検知して対応することが最重要課題となっています。

これはまさにCognito Detect for Office 365が得意とする点です。Cognito Detect for Office 365は、Office 365のようなSaaSプラットフォームに隠れた攻撃者を迅速かつ容易に特定しすることで、攻撃を未然に防ぐことができます。

Cognito Detect for Office 365のデモをご要望の方はぜひこちらまでご連絡ください。また、「2020年 Office 365 スポットライトレポート(2020 Spotlight Report for Office 365)」(サマリー版事例)を発行しています。そちらも合わせてご確認ください。 

About the author

Vectra

Vectra® is the world leader in AI-powered network detection and response.

Author profile and blog posts

Most recent blog posts from the same author

Security operations

Chronicle integration: Conduct faster, context-driven investigations into active cyberattacks with Vectra and Chronicle

November 19, 2019
Read blog post
Security operations

Swimlane integration: Automate response and speed remediation with Swimlane and Vectra

November 11, 2019
Read blog post
Security operations

Forescout integration: Gain real-time visibility and automated response

November 4, 2019
Read blog post