攻撃者はどのようにビジネスメールを使用してOffice 365を侵害するか

2020年12月3日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
攻撃者はどのようにビジネスメールを使用してOffice 365を侵害するか

FBIは最近、サイバー攻撃者が被害者のウェブベースの電子メールクライアントに自動転送ルールを割り当て、その活動を隠蔽しているとの民間企業通知を発表した。その後、攻撃者はこの可視性の低下を利用して、ビジネスメール侵害(BEC)を成功させる可能性を高めています。

これは深刻な問題だ。昨年、Internet Crime Complaint Center(IC3)は、BECによる全世界での被害額を17億ドル以上と報告した。

これは、OutlookメールクライアントとExchangeメールサーバーを含むMicrosoft Office 365アカウントを悩ませているサイバー脅威を浮かび上がらせる。毎月2億人以上の加入者がいるOffice 365は、サイバー犯罪者にとって格好の標的だ。そして毎月、Office 365を利用している組織の30%が攻撃者の犠牲になっている。

Office 365は、新しい分散型従業員にビジネスを行うための主要なドメインを提供するが、攻撃者が悪用しやすいデータと情報の中央リポジトリも作成する。

マルウェアの代わりに、攻撃者はOffice 365のデフォルトで利用可能なツールや機能を使い、Living Off The Land (環境寄生型)し、何カ月も隠れている。メールの転送は、心配すべき数多くのテクニックの1つに過ぎない。攻撃者がOffice 365環境に足場を築いた後、以下のようなことが起こる可能性がある:

  • 電子メール、チャット履歴、ファイルを検索し、パスワードやその他の有用なデータを探す。
  • 転送ルールを設定することで、再度サインインすることなく、安定した電子メールのストリームにアクセスできる。
  • CEOの公式アカウントから不正な電子メールを送信し、従業員、顧客、パートナーをソーシャルエンジニアリングするなど、信頼できるコミュニケーションチャネルを乗っ取る。
  • 信頼できる文書にマルウェアや悪意のあるリンクを仕込み、アラートを発する防止策を回避するよう人々を操る。
  • ファイルやデータを盗んだり暗号化して身代金を要求する。

Vectra Office 365に対して使用される最も一般的な攻撃手法トップ10に関する調査では、不審なメール転送が8番目に一般的な悪意のある行為であることが判明した。

Office 365でよく利用されるツール/サービス

Office 365のアカウント権限の悪用は、現実の攻撃でも多発していることから、注意深く見守ることが重要です。多要素認証 (MFA)のようなセキュリティ対策は、この新しいサイバーセキュリティの状況では、もはや攻撃者を止めることはできません。

Office 365 やその他の SaaS プラットフォームは、攻撃者の横移動の安住の地であるため、ユーザがクラウド環境のアプリケーションやサービスにアクセスする際のアカウント権限の乱用を検知し、対応することが最も重要です。

これこそが、検知 for Office 365 が提供する機能です。これにより、セキュリティチームは、Office 365のようなSaaSプラットフォームにおける隠れた攻撃者を迅速かつ容易に特定し、軽減することができます。

よくあるご質問(FAQ)