AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます

【第20回】Office 365のフィッシング対策(その2)

今回は、Office 365/Microsoft 365で利用されているフィッシング対策を解説すると共に、その活用方法をご紹介していきます。

マイクロソフトが提供する多層防御

マイクロソフトでは、各セキュリティ機能やサービスと密に連携して多層防御を提供し、脅威をいち早く検出／自動的に対処するシステム「Microsoftインテリジェントセキュリティグラフ」を構築しています。

Microsoftインテリジェントセキュリティグラフ

同システムでは、メールを経由する脅威に対しても多層的な保護を提供しています。

メールを経由する脅威に対して提供される多層的な保護機能

基本的なフィルタリング

SPF(Sender Policy Framework)/DKIM (DomainKeys Identified Mail)などを利用した、なりすましメールの検知、リスト化されたスパム送信者のチェック、送信元アドレス IP のチェックなどを行います。また、添付されたファイルに関して、シグニチャベースのマルウェアスキャンなども実施し、大規模に展開されている、あるいは既に検知済みの「メールを経由する攻撃」に対するフィルタリングを行います。

より高度なセキュリティフィルタリング

メール本文や添付ファイルに含まれるURLを確認し、メールフローの分析と機械学習によるなりすましの検知を行うことで、ビジネスメール詐欺(BEC)などの高度な攻撃に対する防御を行います。また、クラウドサービス上のサンドボックス環境にて添付されたファイルの動的スキャンを実行し、その実行結果に基づいてユーザーにメールを配信することができます。

クリック時の保護

メール本文やOffice 365で提供されている「Teams」のチャット内で記載されたURL、添付されているOfficeドキュメントに記載されたURLを、Office 365を経由するリンクに置き換えてユーザーに配信します。これにより、実際にユーザーがURLをクリックした際、リンク先に問題がないかどうかをOffice 365側でも確認し、リアルタイム保護を提供しています。

ZAP(Zero-hour Auto Purge)

ユーザーのメールボックスにメールが配信された後でも、新たに発見された脅威がある場合などは、該当するメールを削除するなどの対応を実施しています。

配信後のアラート、調査

管理者は組織のメールセキュリティ環境を総合的に監視し、脅威に関するアラートを受け取ったり、詳細な調査を行ったりすることができます。

なお、Office 365 ではいくつかの利用プランが用意されていますが、メールセキュリティ対策においては、Exchange Online Protection (EoP) で基本的なメールセキュリティの機能を提供し、Office 365 Advanced Threat Protection (OATP) でさらに高度な対策を加えて提供しています。

Office 365 Advanced Threat Protection(OATP)

効果的に運用するために必要なコト

このように、マイクロソフトではいくつものセキュリティ機能を提供していますが、それらを十分に使い切れていない運用も見受けられます。実際、マイクロソフトが調査したところ、ユーザーのメールボックスに到達してしまったフィッシングメールのうち約20%は、本来、ユーザーのメールボックスに到達する前に排除可能であることがわかりました。

これらはOffice 365テナントの構成を見直すことによって回避できるもので、例えば、例外的に許可している送信元ドメインの数が管理しきれていないほど膨大に膨れ上がっているケースや、新たに追加されたOffice 365の管理機能を活用できていないケースなどがあります。

メールを経由するセキュリティを効果的に運用するためには、定期的に構成をアセスメントし、効果を測定し、ポリシーを更新することが重要です。マイクロソフトでは、例えば、以下のような構成を見直し、正しく有効化することを推奨しています。

【フィッシング対策ポリシーを設定する】

• 安全な添付ファイルを有効化する
• 安全な添付ファイルを SharePoint や Teams でも有効化する
• 安全な添付ファイルはすべてのユーザーに有効化する
• リンクが確認されるまでメールを配信しないようにする
• 内部のメールに対しても SafeLinks を有効化する
• BEC 保護 (User & Domain Impersonation) を有効化する
• メールボックスインテリジェンスを有効化する
• 高度なフィッシング対策ポリシーを有効化とし”3”を設定する
• すべてのポリシーに監査を有効化する
• ZAP (ゼロ時間自動削除) を有効化する

【IP ドメイン制限を見直す】

• 特定のIPからのみ接続を許可するフィルタを活用する
• 共有 IP アドレスを許可リストから削除する
• 認証されたドメインのみ許可リストに登録する
• 自ドメインを「許可」リストから削除する

【メールボックスセキュリティを設定する】

• 送信制限数を必要最低限とする
• 外部ドメインへの転送を禁止する
• 危殆化したプロトコルの利用を停止する (SMTP, IMAP, POP3)
• 多 要素認証を有効化する
• 監査を有効化する
• 迷惑メール対策を有効化する
• メッセージのレポートアドインを有効化する

なお、上記のような点をまとめたベストプラクティスガイドと、自テナントの構成をベストプラクティスと比較分析することができる機能「Config Analyzer」が、間もなく利用可能になる予定です。これにより、さらに、自テナントの構成のアセスメントがより効率的に行えるようになります。

Config Analyzer

さて次回は、「マイクロソフトの社内ITシステムでは、どのようにフィッシングメールへの対策を行っているのか？」――その運用の一部をご紹介したいと思います。

著者紹介

垣内 由梨香
マイクロソフト株式会社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャー

マイクロソフト株式会社に入社以来、Active Directory, Network, 証明書および暗号化を専門としたWindows エンジニアを経て現職。セキュリティの意識向上活動、インシデント対応に従事。CRYPTREC委員。