当社が最近発表したOffice 365の2020年スポットライトレポートでは、攻撃者によって一般的に活用されているクラウドベースのアプリケーション内のツールとサービスを特定しています。90日間にわたり400万件のOffice 365アカウントを観察することで、Office 365のビルトイン機能を悪用する攻撃者のテクニックに関連する疑わしい高リスクの振る舞いを特定することができました。
この調査は、現在進行中の COVID-19 パンデミックの結果であるリモートワークへの大きな移行と、Microsoft Office 365 のような SaaS プラットフォームの日常的なデジタルワークスペースとしての採用が増加していることと一致しています。Office 365は、分散した従業員にビジネスを行うための主要なドメインを提供する一方で、攻撃者が悪用する格好のターゲットとなるデータと情報の中央リポジトリも作成します。
多要素認証(MFA )は情報漏えいの可能性を減らすための唯一最善の手法であるが、Office 365の情報漏えいは後を絶たない。MFAのセキュリティ対策は、悪意のある陰湿な攻撃を抑止するにはもはや十分ではありません。こうした攻撃の中でも、アカウントの乗っ取りによる侵害は最も急速に拡大しており、組織の評判に悪影響を及ぼし、金銭的な影響を及ぼしています。
Office 365における攻撃者の振る舞い
攻撃者がOffice 365環境に足場を築いた後、以下のようないくつかの一般的な手法が発生する可能性がある:
- 電子メール、チャット履歴、ファイルを検索し、パスワードやその他の興味深いデータを探す。
- 転送ルールを設定することで、再度サインインすることなく、安定した電子メールのストリームにアクセスできる。
- 信頼されたコミュニケーション・チャネルを活用する(例:CEOの公式アカウントから不正な電子メールを送信し、従業員、顧客、またはパートナーをソーシャル・エンジニアリングするために使用する)。
- 多くの人が信頼し利用している文書にマルウェアや悪意のあるリンクを仕込み、再び信頼を操作してアラートを発する可能性のある防止策を回避する。
- ファイルやデータを盗んだり、身代金を要求する。
どうやっているのだろう?
Spotlight Reportによると、Office 365のサービスのうち、特に3つのサービスが攻撃に有用であることがわかった。OAuthは足がかりの確立と永続化に、Power Automateはコマンド&コントロールと横の動きに、eDiscoveryは偵察と流出に使用される。
1.OAuthはアクセス認証のためのオープンスタンダード
多くの場合、Office 365 ログイン サービスとユーザーの関連資格情報を使用してユーザーを認証するために、サードパーティ アプリケーションによって利用されます。OAuth認証コード付与は、デバイスにインストールされたアプリで使用され、Web APIなどの保護されたリソースにアクセスすることができます。攻撃者は、ユーザーの Office 365 アカウントへの永続的なアクセスを維持するために、OAuth を有効にした悪意のある Azure アプリケーションを活用しています。
2.Power Automate では、Office 365 アプリケーション間のカスタム統合と自動ワークフローを作成できます。
PowerAutomateはデフォルトで有効になっており、数百ものサードパーティ製アプリケーションやサービスへのコネクターが含まれていますが、フローは情報漏洩防止(DLP)を含むセキュリティポリシーをバイパスすることができます。Power Automateは幅広く利用可能で使いやすいため、攻撃者が悪意のあるコマンド&コントロールやラテラル・ムーブメントを組織化する際に、部分的に有用なツールとなります。
3. eDiscoveryは、Office 365のアプリケーションとデータを横断的に検索し、結果をエクスポートする電子証拠開示ツールです。
攻撃者は、eDiscoveryを強力な内部偵察およびデータ流出ツールとして使用しています。たとえば、Microsoft Outlook、Teams、SharePointおよびOneDrive内のすべてのファイル、OneNoteノートブックを1つの簡単なコマンドで「パスワード」や「pwd」を検索することができます。
さらに、攻撃者は、Azure Active Directory、Exchange、およびSharePointで見つかった脆弱性を利用して、ID認証情報と特権アクセスを取得し、悪用することができます。攻撃者は、通常のアカウント乗っ取り後に特権を昇格させ、管理者レベルの操作を実行することができます。攻撃者はまた、機密ロールにプロビジョニングされたアクセス権を持ち、システムへの冗長なアクセスを作成します。
これは、Office 365 サービスが侵入しやすいということではなく、むしろユーザーに割り当てられた権限とその使用方法です。セキュリティチームは、Office 365のようなSaaSアプリケーション内で、エンティティがどのように権限を利用するか(観察された権限として知られている)を説明する詳細なコンテキストを持たなければなりません。
これは、ユーザーがどこからどのようにOffice 365リソースにアクセスするかを理解することにつながるが、プライバシーを保護するために完全なデータペイロードを見ることはない。これは、静的なアクセスではなく、使用パターンと振る舞いについてです。
リスクを軽減するためにすべきこと
- 合法的なユースケースを持たない Office 365 ユーザーからのPower Automate 内部ライセンスの使用を制限、または削除する。
- Office 365 情報漏洩防止ポリシーを見直し、「ビジネスゾーン」を使用してビジネスデータへの Power Automate アクセスを制限する。
- eDiscoveryへのアクセスを、正当なユースケースを持つOffice 365ユーザーに制限する。
- リアルタイムの脅威検知とレスポンス 、Office 365ツールやサービスの疑わしい悪意のある使用を特定する。
ユーザー・アクセスの悪用を監視することの重要性は、現実の攻撃におけるその蔓延を考えれば、いくら強調してもしすぎることはない。現在のサイバーセキュリティの状況では、多要素認証のようなセキュリティ対策は、もはや攻撃者を抑止するのに十分ではありません。Office 365のようなSaaSプラットフォームは、攻撃者の横移動にとって安全な避難所であり、アカウントやサービスへのユーザー・アクセスに焦点を当てることが最も重要です。セキュリティチームがOffice 365のようなSaaSプラットフォームに関する確かな情報と期待を持っていれば、悪意のある振る舞いや権限の乱用を迅速に特定し、緩和することがはるかに容易になります。
Vectra Detect for Office 365 は、エージェントなしで数分で導入でき、Office 365 のアタックサーフェスを可視化し、次のことを可能にします:
- 検知 ログインに何度も失敗し、その後に成功するなどの不審なアカウントの動きや、両方のシナリオでどのアカウントが使用されたか。
- Power Automateフローの作成、新規アカウントの追加、悪意のあるアプリケーションのインストールに注意する。
- グループへのユーザーの追加を含む、権限の昇格の発見
Office 365に関するVectra 2020 Spotlight Reportは、攻撃を発見し、セキュリティチームが横の動きによってインストールされた有害な原理を阻止することを可能にするネットワーク検知とレスポンス(NDR)の価値を実証している。