Office 365のフィッシング対策

【連載】

AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます

【第19回】Office 365のフィッシング対策

[2019/08/02 08:00]垣内由梨香 ブックマーク ブックマーク

セキュリティ

電子メールやSMSなどを通じて、IDやパスワード、クレジットカードなどの情報を窃取するフィッシング。フィッシングは、攻撃者にとって比較的簡単で効率の良い手法であることから、サイバー攻撃の入り口として利用され続けています。

マイクロソフトの分析によると、Office 365上では、実に月間約2.6億件ものフィッシングメールがやり取りされています。これは、Office 365全体でやり取りされているメールの0.55%程度を占めており、2018年度では、年間を通して上昇傾向にありました。

2018年度のOffice 365におけるフィッシングメールの割合/出典:マイクロソフト セキュリティインテリジェンスレポート 第24版

フィッシングの攻撃者は、さまざまな手法を駆使してメールの内容を信じ込ませ、メッセージ内のリンクのクリックを促し、添付ファイルを開かせようとします。そのなかでも、メッセージ内容に実在する銀行やオンラインショッピングサイト、大手IT企業などの名前をかたったり、ロゴを悪用したりして差出人を偽装する手法は、利用者を欺きやすく、攻撃者が利用する典型的な手口です。

マイクロソフトセキュリティチームをかたるフィッシングメールの例

マイクロソフトの製品/サービス周辺では、昔から「マイクロソフトのサポート窓口をかたる」「製品のライセンス違反を示唆する」といった手口でユーザーをだまし、金銭を盗み取ろうとするフィッシングが見られます。

ここ数年は、Office 365をはじめとしたクラウドサービスを利用するユーザーの増加に伴い、Office 365のサポート窓口をかたるフィッシングが増加しています。例えば、「アカウント情報の確認を迫ってIDとパスワードを入力させる」「決済情報に不備があるとしてクレジットカードの入力を促す」といった手口が報告されています。

フィッシングメールの本文、そしてメール内に記載されているサイトは、Office 365のロゴや画像を転用するなどし、正規のOffice 365のサイトそっくりに仕立てられています。

Office 365 をかたるフィッシングメールと、リンク先のフィッシングサイト

さらに、昨今は、フィッシングを実行するプラットフォームとして、クラウドのリソースを利用するケースが増加しています。管理が甘い利用者のクラウドリソースを乗っ取ってフィッシングメールを送信したり、クラウドサービス上のドキュメント共有/コラボレーションサイトを利用してフィッシングサイトを構築したりといった具合です。例えば、マイクロソフトのOneDrive上に、Formsを利用してユーザー名とパスワードを入力させるフィッシングサイトを作成し、ユーザーを誘導するケースが報告されています。

このようなケースでは、フィッシングが行われているサイトのURL自体は正規のマイクロソフトサイトであるため、ユーザーが、よりだまされやすくなってしまう傾向にあります。なお、マイクロソフトはマイクロソフトのサービス上でこのような詐欺行為を禁止しており、即座にアクセスをブロックする、アカウントを閉鎖処理するなどの対策を実施しています。もし、このようなサイトを見つけた場合は、速やかにマイクロソフトに報告してください。

マイクロソフトサービス上に構築されたフィッシングサイトの例

このように、フィッシングの手口はどんどん巧妙になってきています。また、フィッシングは、利用者を信じ込ませて自ら行動するように仕向ける、という「人の脆弱性」を狙った攻撃であるため、技術的な対策のみを行えばいいというものでもありません。

企業を狙う攻撃者にとって、フィッシングは、あくまでも企業へ侵入するための入り口として利用する手段の1つにすぎません。フィッシングによって窃取した利用者IDとパスワードを基に、企業システムへ正規のユーザーとしてログインし、侵入を深めてより重要な情報へと近づいていきます。企業のセキュリティ対策においては、フィッシングメールの開封や不審なサイトへのアクセスを防止する対策だけに注力するのではなく、ID管理やログ管理、すばやいレスポンスなども含め、システム全体で対策することも重要です。

次回から、フィッシングを入り口とした攻撃の流れを追いながら、Office 365/Microsoft 365で利用されているフィッシング対策技術の仕組みを解説すると共に、それらの機能がどのようにフィッシング対策に活用できるのかをご紹介していきます。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

これからの企業に必要なのは「リスクベース認証」- RSA幹部の見解

これからの企業に必要なのは「リスクベース認証」- RSA幹部の見解

「DX時代に合わせたデジタルリスク管理には、これまでとは異なったアプローチが求められる」――そう語るのは、米RSAでシニアバイスプレジデント兼製品担当を務めるグラント・ゲイヤー氏だ。では、どのような対策を講じればよいのか。7月16日からシンガポールで開催された「RSA Conference 2019 Asia Pacific & Japan」で、ゲイヤー氏と…

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします

会員登録(無料)

注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
知りたい! カナコさん 皆で話そうAIのコト
教えてカナコさん! これならわかるAI入門
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
ソフトウェア開発自動化入門
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る