Microsoftはフィッシング攻撃の標的に:企業が機密メールコンテンツを保護するためにできること
フィッシング攻撃は企業に壊滅的な影響を与える可能性があり、財務的損失、評判の損害、法的責任を引き起こします。さらに、フィッシング攻撃はますます巧妙化しており、ハッカーは特定の個人や組織を狙ったスピアフィッシング、ビッシング、スミッシングなどの高度な手法を使用しています。
フィッシング攻撃に特に人気のあるソフトウェアプラットフォームの一つがMicrosoft Officeです。このブログ記事では、Microsoft Outlookを使用する際に企業が直面するフィッシングリスクを探り、機密のメール通信やその他の機密コンテンツを暴露する脅威となるターゲット型フィッシングやホエーリング攻撃から企業がどのように自分を守ることができるかを議論します。
フィッシングが企業に与える壊滅的な影響
フィッシングは年々、敵対者にとって有利で主要な攻撃手段であり続けています。Mandiant Special Report M-Tends 2023によると、2022年にはフィッシングが侵入の初期感染手段として2番目に多く利用され、初期感染手段が特定された侵入の22%を占めました。これは2021年に見られた12%からの増加です。
Netwrix 2023 Hybrid Security Trends Reportによると、68%の組織が過去12ヶ月間にサイバー攻撃を受けており、フィッシングが最も一般的な攻撃手段です。NetwrixのセキュリティリサーチVPであるDirk Schraderは、「フィッシングメールは、文法やスペルの間違い、明らかに間違ったグラフィックのおかげで簡単に見分けられました。しかし、ChatGPTのようなAIツールの登場により、脅威者は特定の個人を狙ったスピアフィッシングメッセージを含む、よく構成されたメッセージを迅速に作成できるようになり、より多くの受信者を騙して悪意のあるリンクをクリックさせたり、感染した添付ファイルを開かせたりする可能性が高まります。」と述べています。
フィッシング攻撃の仕組み
フィッシングのリスクを理解するために、この架空のシナリオを考えてみましょう。Tiger Manufacturingの財務チームのメンバーであるWilliam Morganは、Microsoftからのメールだと思い込んで、システムアップグレードのためにMicrosoft 365の資格情報を要求されました。
メールの怪しい性質にもかかわらず、Williamは資格情報を提供し、ハッカーは彼のMicrosoft Outlookの受信トレイ全体にアクセスできるようになりました。ハッカーはその後、Tiger Manufacturingのドメイン名とわずかに異なる複数のドメイン名(例:Tigger Manufacturing、Tiger Manufactering、Tiger Manufcaturingなど)をGoDaddyで登録しました。ハッカーはこれらの偽のドメインで複数のMicrosoft Office 365トライアルアカウントを登録しました。
ハッカーはその後、トライアルアカウントを使用してTiger Manufacturingの顧客に詐欺的な請求書と銀行情報を含むフィッシングメールを送信しました。一部の顧客は詐欺に引っかかり、ドイツの口座に資金を送金しました。ハッカーはMicrosoftがドイツのP.O.ボックスを正当なアカウントアドレスと見なすため、ドイツの口座を選びました。
Tigerの最高情報セキュリティ責任者(CISO)であるJosephは、攻撃者の洗練されていないが成功した戦術を特定し、GoDaddyとMicrosoftに直ちに通知しました。GoDaddyは彼の電話を無視し、Microsoftは最終的に複数の要求の後に無料トライアルアカウントを凍結しました。
Microsoftが無料トライアルアカウントを凍結したにもかかわらず、攻撃者がWilliamのOutlook受信トレイからダウンロードした特定のファイルやメールを明らかにする可能性のあるsyslogの詳細を公開しませんでした。そのため、Tiger Manufacturingは攻撃の全容を本当に知ることができず、侵害された可能性のあるすべての顧客に通知するという最悪のケースの道を取らざるを得ませんでした。
フィッシング攻撃からMicrosoftが守ってくれるとは期待しないでください
まず第一に、Microsoftは労働生産性の向上に焦点を当てたソフトウェア会社です。同社はセキュリティが最優先事項であると言うでしょうが、生産性が最優先事項です。世界中で約3億5000万人のMicrosoft Office 365ユーザーがいるため、Microsoftはその多くのユーザーを保護するには不十分です。したがって、プラットフォームは常にフィッシングに対して脆弱です。
Tiger Manufacturingは架空の会社ですが、フィッシングスキームは規模、業界、場所に関係なく毎日企業を悩ませています。実際、2023年後半には、数十のMicrosoft Azure環境で数百のMicrosoft Office 365ユーザーアカウントが侵害されていることが研究者によって特定されました。これらのアカウントの多くは、社長/CEO、CFO/財務担当者、営業部長、財務マネージャーなどの役職を持つ上級幹部に属していました。上級幹部は通常、盗まれて収益化される可能性のある機密情報への特権を持っているため、フィッシングの人気のターゲットです。
フィッシングキャンペーンは、被害者を「ドキュメントを見る」ボタンをクリックさせ、アカウントの資格情報を求めるページにリダイレクトし、ハッカーに機密の企業、財務、システム情報へのアクセスを提供しました。
結局のところ、企業はフィッシング攻撃やアカウント乗っ取りを防止、特定、修正するためにMicrosoftに頼ることはできません。
フィッシング攻撃のバリエーション
フィッシング攻撃は、ハッカーが社会工学、スプーフィング、マルウェアなどのますます高度な手法を展開するにつれて、ますます巧妙化しています。社会工学は、心理的操作を使用して被害者を騙して機密情報を漏らさせる手法であり、スプーフィングはメッセージの発信元を偽装して正当なものに見せかける手法です。マルウェアは、被害者のデバイスに感染させて情報を盗んだり、デバイスを制御したりするために使用されることがあります。
フィッシング攻撃にはさまざまな形態があり、それぞれが個人を騙して機密情報を漏らさせたり、個人識別情報や保護対象保健情報(PII/PHI)、顧客記録、財務データ、知的財産、その他の機密情報を危険にさらす行動を取らせたりすることを目的としています。ホエーリングに加えて、他のフィッシングスキームには以下のようなものがあります:
1. ホエーリング:トップエグゼクティブを狙った機密情報の取得
ホエーリングは、上記のMicrosoft Azureへの最近の攻撃で見たように、サイバー犯罪者がCEO、CFO、その他のトップエグゼクティブなどの高名な個人から機密情報を取得しようとするターゲット型のフィッシングです。これらのエグゼクティブは、より多くの機密情報にアクセスできることが多く、サイバーセキュリティのベストプラクティスに関するトレーニングを受けていないことが多いため、ホエーリング攻撃に特に脆弱です。
攻撃者は、他の上級幹部や信頼できる情報源からのように見える正当なメールに偽装した社会工学的戦術を使用します。成功すれば、エグゼクティブは悪意のあるリンクをクリックしたり、ビジネスクリティカルなアプリケーションのログイン資格情報を提供したり、機密文書を送信したりします。ホエーリング攻撃はしばしば洗練されており、巧妙に作成されているため、検出や防御が難しいです。したがって、組織とその従業員は警戒を怠らず、そのような攻撃から機密情報を保護するために適切な対策を講じることが重要です。
2. 偽装メールフィッシング:馴染みのあるが偽のアイデンティティを利用
偽装メールフィッシングは、最も一般的なフィッシング詐欺の一つです。偽装メールフィッシング攻撃では、攻撃者が正当な組織や知っている個人からのように見えるメールを送信します。メールには、ユーザーにパスワード、アカウント番号、クレジットカード情報などの機密情報を提供するよう求める偽のウェブサイトへのリンクが含まれています。メールには、ダウンロードすると被害者のコンピュータやデバイスにマルウェアをインストールする添付ファイルが含まれていることもあります。
3. スピアフィッシング:特定のターゲットに狙いを定める
スピアフィッシングは、フィッシングのより高度なタイプで、特定の個人やグループをターゲットにします。スピアフィッシング攻撃では、攻撃者がターゲットに関する個人情報を収集し、それを使用して成功の可能性を高めるための個別のメッセージを作成します。メールには、特定の情報やアカウントのログイン資格情報を求めるものや、偽のウェブサイトや悪意のある添付ファイルへのリンクが含まれていることがあります。
4. スミッシング:テキストを介したフィッシング
スミッシングは、テキストメッセージを使用してユーザーを騙し、機密情報を提供させたり、マルウェアをダウンロードさせたりするフィッシング攻撃の一種です。メッセージは銀行やサービスプロバイダーなどの正当な情報源からのように見え、ユーザーに個人情報を提供するよう求めたり、偽のウェブサイトへのリンクをクリックするよう求めたりします。
5. ビッシング:電話を介したフィッシング
ビッシングは、メールやテキストの代わりに電話を使用してユーザーを騙し、機密情報を漏らさせたり、通常は行わない行動を取らせたりするフィッシング攻撃の一種です。ビッシング攻撃では、攻撃者が銀行やサービスプロバイダーを装い、被害者に機密情報を提供させたり、資金を移動させたりするよう説得する戦術を使用することがあります。
6. クローンフィッシング:正当なメールを操作
クローンフィッシングは、攻撃者が正当なメールを複製またはクローン化し、しばしば同じ内容で、異なる(そしてしばしば悪意のある)リンクや添付ファイルを含むフィッシング攻撃の一種です。メールは銀行やサービスプロバイダーなどの信頼できる情報源からのように見え、被害者に個人情報や機密情報を提供するよう求めます。
7. ファーミング:偽のウェブサイトで被害者を欺く
ファーミングは、攻撃者がユーザーを正当なものに見える偽のウェブサイトにリダイレクトするフィッシング攻撃の一種です。ウェブサイトは、被害者からログイン資格情報や財務情報を盗むために設計されています。攻撃者は、マルウェアやDNSスプーフィングを使用して被害者を偽のウェブサイトにリダイレクトすることがあります。
8. ビジネスメール詐欺(BEC):信頼できる同僚を装う
BECは、信頼できる同僚、パートナー、またはベンダーを装って被害者を騙し、資金を移動させたり機密情報を共有させたりするフィッシング攻撃の一種です。ビジネスメール詐欺攻撃では、攻撃者が架空のメールアドレス(上記の架空のTiger Manufacturingのシナリオのように)を使用し、送金やアカウント情報の変更などの緊急の行動を要求することがあります。このタイプのフィッシング攻撃は、重大な財務的損失やデータ侵害を引き起こす可能性があります。
Microsoftの防御の隙間:フィッシング攻撃を容易にする要因
Microsoftは、世界中の何百万人もの人々や企業が使用する生産性ツールで広く知られています。しかし、これらの製品の防御力は不十分な場合があります。実際、Microsoft Office 365プラットフォームには、フィッシング攻撃に対して脆弱な複数の隙間があります。以下にいくつかの例を示します:
ファイル活動の可視性の低さがガバナンスの隙間を生む
Microsoft Office 365の大きな隙間は、外部コンテンツ共有、つまり誰が誰とどのコンテンツを共有しているかの可視性の欠如です。組織は、知的財産、PII、PHI、販売契約、財務データ、その他の機密情報をどこに保存されているか、誰がアクセスできるか、誰と共有しているかを知らなければ、適切に保護することはできません。このレベルの可視性は、コンテンツガバナンス、保護、および規制コンプライアンスにとって基本的です。多くの企業がOneDriveやSharePoint Onlineを使用して文書を共有し、第三者と協力していますが、これらのアプリケーションは十分な可視性を提供していません。可視性と報告が不十分なため、組織はデータ漏洩、データ侵害、またはコンプライアンス違反のリスクを高めています。
不十分なURLフィルタリングがファーミング攻撃を招く
MicrosoftのExchange OnlineとSharePoint Onlineアプリケーションには、堅牢なURLフィルタリングシステムが欠けています。これらのアプリケーションを通じたメールやファイル共有は簡単に複製され、ユーザーは信頼できる情報源とやり取りしていると信じ込む可能性があります。ハッカーはこの隙間を利用してフィッシングメールを送信したり、悪意のあるファイルを添付したりして、アクセスするとユーザーのデバイスに感染させたり、ログイン資格情報を盗んだりします。
ゼロトラストの問題:多要素認証の欠如が顕著なセキュリティの隙間を生む
Microsoftがゼロトラストの原則を統合しないことにより、顧客は不正アクセスに対して脆弱になります。Microsoftアプリケーションに多要素認証が欠如しているため、サイバー犯罪者はこの隙間を利用して資格情報詰め込み、総当たり攻撃、またはフィッシングを使用してユーザーのパスワードを発見します。その後、ユーザーの資格情報を使用して、アクセスできる機密コンテンツを収集します。Microsoftは単一要素の暗号化で止まり、フィッシング攻撃が成功した後に組織を脆弱にします。ログインするユーザーの正当性を確認するための第二の要素がないため、サイバー犯罪者はこのセキュリティの隙間を簡単に利用して機密コンテンツにアクセスできます。したがって、セキュリティアーキテクトは、いくつかのフィッシング攻撃が成功することを前提としなければなりません。代わりに、他のシステムやアプリケーションに多要素認証を実装して、不正アクセスによる被害を制限する必要があります。
Microsoftのメールセキュリティの隙間がフィッシング攻撃を招く
Microsoftのメールセキュリティ対策は、あるべきほど堅牢ではありません。MicrosoftのExchange Online Protection(EOP)はスパムやウイルスに対する一部の保護を提供しますが、多くのフィッシング攻撃を検出できません。Microsoftの高度な脅威対策(ATP)はEOPの追加サービスであり、フィッシング攻撃の一環としてユーザーに送信されたゼロデイマルウェアを発見する可能性がありますが、サービスに追加料金を支払う顧客のみが対象です。
KiteworksがMicrosoftのセキュリティの隙間と脆弱性を埋め、フィッシング攻撃、データ侵害、コンプライアンス違反から企業を保護
Kiteworksのプライベートコンテンツネットワークは、フィッシング攻撃、データ侵害、コンプライアンス違反のリスクを軽減するセキュアなメールソリューションを企業に提供します。Kiteworksのセキュアメールを使用することで、企業はフィッシングメールのリスクをほぼ排除できます。これは、Kiteworksがクローズドで招待制のシステムであるためです。従来のメールプラットフォームとは異なり、Kiteworksは認可された個人からのメールのみを受け入れます。ビジネスメール詐欺、クローンフィッシング、スピアフィッシング、ホエーリング、スパム、その他のオンライン詐欺は、ほぼ通過不可能です。
Kiteworksはまた、Twilio、CLX、CM、FoxBoxなどのSMSサービスを介したワンタイムパスコード(OTP)や、Google Authenticator、Microsoft Authenticator、Authyなどの認証アプリからのソフトトークンをサポートする時間ベースのワンタイムパスワード(TOTP)認証を含む、広範な認証およびユーザー管理機能を提供します。Kiteworksは、メール受信者のようなワンタイムユーザーにSMSコードを介して認証を要求し、認可されたユーザーのみが機密メールコンテンツにアクセスできるようにすることもできます。
Kiteworksを使用すると、企業は組織全体のファイル転送と使用状況を監視できます。この可視性により、ログイン失敗の試み、不明なIPアドレスからのログイン、疑わしいダウンロードなどの疑わしい活動が迅速に検出され、潜在的なリスクを軽減するための迅速な対応が可能になります。さらに、Kiteworksは主要なエンタープライズデータ損失防止(DLP)ソリューションと統合しているため、攻撃者が従業員の資格情報を取得し、メールやファイル共有を介して機密コンテンツを流出させようとした場合、DLPソリューションが試みをフラグし、転送をブロックする可能性があります。
Kiteworksはまた、企業の従業員が既存のMicrosoftメールアプリケーションを使用しながら、Kiteworksが提供するすべてのセキュリティおよびコンプライアンス機能を利用できるMicrosoft Outlookプラグインを提供します。プラグインを使用すると、従業員はすでに慣れ親しんでいるMicrosoft Officeを使用するため、採用と利用の懸念はありません。メールはKiteworksプライベートコンテンツネットワークを介して送受信され、顧客、パートナー、サプライヤー、その他の信頼できる第三者が招待される必要があります。メールとその添付ファイルは転送中および保存中に暗号化され、すべてのファイルが追跡され、記録されます。
Kiteworksのクローズドメールシステムは、MFA、ファイル活動の可視性、DLPによって強化され、フィッシングリスクをほぼ排除します。コンテンツセキュリティ、ガバナンス、コンプライアンスは、機密データにアクセスできるのは認可されたユーザーのみであることを保証するコンテンツ定義ゼロトラストアプローチによってさらに強化されます。これには、強化された仮想アプライアンスと、オンプレミス、プライベートクラウド、FedRAMP仮想プライベートクラウドを含む柔軟なセキュアデプロイメントオプションが含まれます。最後に、詳細なアクセス制御、役割ベースの権限、およびIDおよびアクセス管理(IAM)統合により、企業は機密メールコンテンツが機密のままであることを安心できます。
カスタムデモを今日スケジュールし、Kiteworksのセキュアメール機能について詳しく学びましょう。