RSAカンファレンス2024におけるVectra AI
15分間のデモを予約する
クラウドセキュリティ

2つの攻撃の物語:Microsoft Office 365にセキュリティのスポットライトを当てる

2020年10月26日
Vectra AI セキュリティ・リサーチ・チーム
サイバーセキュリティ
2つの攻撃の物語:Microsoft Office 365にセキュリティのスポットライトを当てる

2020 年は誰にとっても珍しい年でした。変化は予想外かつ迅速に私たちを襲いました。 また、リモートワークに移行し、Microsoft Office 365 などのクラウドベースのサービスを使用し始めたため、私たちの働き方、出勤方法、コミュニケーションの方法も変化しました。

例えば、2020年10月8日から9日にかけて、英国の社会人1,097人を対象に実施されたオンライン調査 (YouGovがVectra) によると、在宅勤務が可能でOffice 365/Microsoft 365を利用している人の70%が、COVID-19後も在宅勤務は変わらないか増加すると予想していることが明らかになった。他の先進国でも同様の結果が予想されるのは妥当だろう。  

これらの変更は、組織が保護するアタックサーフェスを明らかに変化させようとしている。数カ月前にDetect for Office 365を立ち上げたとき、私たちは世界で最も利用されているSaaSアプリケーションの内部でこのような変化がどのようなものであるかに答える手助けをするのに適した立場になりました。6月から8月にかけて、私たちは400万アカウントのデータを収集し、Office 365エコシステム内で発生する不審な行動や攻撃の性質を理解し始めるためのデータセットを得ました。

私たちは、Office 365に関する2020年スポットライトレポートで調査結果を発表し、攻撃者が攻撃を実行するためにOffice 365の組み込みツールやサービスをどのように活用しているかを明らかにしました。また、分析の一環として、攻撃者がOffice 365の内部でどのように活動しているかを示す事例も紹介しました。

金融詐欺未遂

この中堅メーカーの攻撃者は、財務部門に狙いを定め、おそらくLinkedInを使って標的を特定しました。多要素認証 (MFA) が有効になっていない場所を見つけ、Office 365にアクセスするために、レガシー・プロトコルに対して低速のブルート・スイープ攻撃が実行されました。

内部に侵入すると、攻撃者はDocuSignまたは請求書のいずれかに関連するすべてのメールを転送するルールを実装し、金銭詐欺の動機を明らかにしました。巧妙なことに、攻撃者は脅威の証拠を消し去り、パスワードとセキュリティに関連するすべてのメールを自動的に削除して発覚を回避するルールも設定しました。

リアルタイムで、Vectra 、攻撃の複数の段階を検知し、セキュリティチームが転送ルールを削除し、Eメールが外部に送信される前にパスワードを変更できるようにした。

全体として、Vectra 、ブルートフォース、不審なサインオン、危険な交換操作、不審な電子メール転送が攻撃の主な段階と指標であると特定した。


脅威検知プロセス

医学研究の盗難


ある大学の医学研究部門が、無料のカレンダー最適化と時間管理アプリを宣伝するフィッシングの誘い文句で標的にされた。

ある人物がこの餌に乗り、悪意のあるOAuthアプリをインストールし、MFAをバイパスして、知らず知らずのうちにOffice 365への完全なアクセスを提供していました。そのアクセスを利用して、攻撃者は信頼されたIDと通信を利用して学内にフィッシングメールを送り、さらに学内に拡散しました。1通のフィッシングメールで、攻撃者はネットワーク内に侵入し、横の動きを実行しました。

Vectra は不審なアプリのインストールを検知し、調査の一環として、社内のスピアフィッシング検知機能も作動したことを指摘した。セキュリティチームは、悪意のあるアプリを削除することで、攻撃者を退去させることができました。


ヘルスケアにおける脅威検知プロセス

ケース (研究) ・イン・ポイント

クレデンシャルの乱用は、月間2億人以上のユーザーを抱えるOffice 365に対して使用される主要なサイバー攻撃手法です。賢い攻撃者は、人間の行動を悪用してパスワードを乗っ取り、アカウントを乗っ取り、重要なビジネスデータを盗み出します。逆に言えば、賢明なセキュリティチームは、SaaSプラットフォームに関する確かな情報と期待を持ち、悪意のある行動や特権の乱用を特定して緩和することができます。

これらの顧客の事例はいずれも、Office 365サービスが攻撃者によってどのように操作され、悪用されたかを示しています。また、これらの組織のネットワーク内に侵入した場合、攻撃者は既存のツールを使用して、Living Off The Land (環境寄生型)攻撃で検知を回避しようとしました。

幸いにも、検知 for Office 365が不審な行動を検知し、各組織にアラートを発したことで、これらの攻撃は抑制された。Vectra AI由来の機械学習アルゴリズムは、これらのセキュリティチームに攻撃を阻止するために必要な情報を提供し、被害や盗難を回避した。

攻撃者の行動を自動的に検知して優先順位を付け、調査を加速し、プロアクティブな脅威ハンティングを可能にすることで、Vectra Cognito Detect for Office 365 は、Microsoft Office 365 セキュリティのコントロールを取り戻し、陰湿な Office 365 ハッカーから保護します。

Office 365に関するスポットライト・レポートの全文を読む。また、Vectra Platformの実際の事例を他のケーススタディで確認する。