Office 365のフィッシング対策(その3)

前回、前々回とOffice 365/Microsoft 365で利用されているフィッシング対策を解説すると共に、その活用方法をご紹介してきました。では、マイクロソフトの社内ITシステムでは、どのようにフィッシングメールへの対策を行っているのか? ――今回は、その運用の一部をご紹介したいと思います。

マイクロソフトのフィッシング対策

マイクロソフトでは、メールを通じたフィッシング攻撃への対策は、自社のIT環境を保護するためだけではなく、自社が提供している製品やサービス、そしてそれらを利用しているユーザーを保護するために重要なセキュリティ対策の1つとして位置付けています。フィッシング攻撃は巧妙なものも多く、多面的に対策を取ることが必要です。そこで、マイクロソフトでは、主に下図に示す4つの面から対策を講じています。

保護管理策

まず、さまざまなセキュリティ機能を活用し、フィッシングメールがユーザーのメールボックスに到達すること自体、あるいは、ユーザーがフィッシングメールやその添付ファイルを開いたり、危険なリンクをクリックしたりする数を削減します。また、現在利用している機能がどの程度効果をもたらしているかを測定し、必要に応じて追加の機能の導入、あるいは既存の機能の変更、ときには撤去も行います。

利用するセキュリティ機能とポリシーは、組織のメールサーバがメールを受け取り、組織内のユーザーのメールボックスに配信された後、ユーザーが添付ファイルを開いたり、リンクをクリックしたりするまでの流れに沿って、多層的に構成しています。

フィッシングは、メールが起点となることが多いため、メールサーバやメーラーなどの対策機能が中心となります。しかしながら、こうしたメール機能における対策だけではなく、組織のID保護管理を正しく構成し、多要素認証を構成するなど、全体的な組織の対策も俯瞰することが必要です。フィッシング攻撃への対策もその一部として位置づけ、効果測定を行うことが重要だと考えています。

検出と対応

悪意のあるメール、あるいは疑わしいメールは、24時間／365日体制で迅速かつ効率良く検出し、インシデント調査チームが調査を行います。もし、新たな脅威が見つかった場合は、ユーザーのメールボックスをを調査し、すでに被害を受けているユーザーの有無を調査して対応を行います。

例えば、悪意のあるフィッシングメールがユーザーのメールボックスに到達し、実際にフィッシングサイトをクリックしてしまった、といったインシデントが発生した場合は、発生原因を調査し、どのような保護管理策が強化されれば到達を防げたのか、などさまざまな角度から検討します。

マイクロソフトで発生していた過去のインシデントを振り返ると、意図した通りにセキュリティ構成が反映されていないために発生したケースや、ホワイトリストによる例外処理による”穴”などが要因となったケースがありました。複雑な構成を排除して監査を徹底すること、ホワイトリストの多用ではなくDKIM、DMARCといった送信ドメイン認証技術などを積極的に活用することで、改善を行ってきました。

レポートとインサイト

マイクロソフトでは、フィッシングメールのトレンドや実施しているセキュリティ管理策への効果を図るために、データの収集と分析に力をいれています。

膨大なデータを対象に、フィッシングメールのトレンド、フィッシングメールがどのセキュリティ管理策でどの程度フィルタリングできているかといった効率性に関する項目の詳細な分析を行っています。例えば、組織全体だけではなく役職ごと、組織ごとに分けて分析することで、よりリスクの高い役員への追加の保護管理策の必要性を検討したり、フィッシングメールを多く受領するユーザーが多い組織へのトレーニングの実施を検討したりします。また、特定のフィッシングキャンペーンに沿って、組織に対する影響や、セキュリティ管理策／ポリシーの効果を測定し、原因の調査／未知の脅威の発見に役立てます。

ユーザーの意識向上

新たな種類のフィッシングメールなど、既存のセキュリティ保護管理策ではブロック／検出できなかったメールは、ユーザーの受信ボックスに配信され、ユーザーがメールを閲覧するケースもあります。その際、ユーザーがフィッシングだと気付き、メール文中のリンクをクリックしたり、添付ファイルを開いたりしなければ、フィッシングを水際で防ぐことができます。また、フィッシングメールをセキュリティ管理者に報告すれば、管理者はその情報を基に有効な対策をとることができるでしょう。そういった意味で、ユーザーはフィッシング攻撃に対する「最後の砦」として、大きな役割を果たします。そのため、マイクロソフトでも、組織内のユーザーのフィッシングに関する意識向上も重要な対策の1つとして位置付けており、特に3つの点に力を入れています。

◆シミュレーション
マイクロソフトでは、定期的に訓練用のフィッシングメールを組織のユーザーに送信するシミュレーションを行っています。シミュレーション目的は、ユーザーに気づきと学ぶ機会を与えることに加え、セキュリティ管理策の効果測定を行うことです。そのため、すでに実施しているセキュリティ管理策で排除されるようなフィッシングメールではなく、セキュリティ管理策をすり抜けてユーザーの受信ボックスに到達する可能性のあるフィッシングメールを模したシミュレーションを実施しています。どのような訓練用メールにするかなど、シミュレーションを計画する際には、先に「レポートとインサイト」で説明した膨大な分析を基に、現在組織が受けているフィッシングのトレンドを参考にしています。

シミュレーションを通して得られた知見はユーザー教育やセキュリティ管理策の改善につなげています。ユーザーの挙動に関するデータ収集では、「ユーザーがフィッシングメールを見分けられたかどうか」ではなく、ユーザーがそのメールに対してどのようなアクションを取ったのかや、報告された件数、報告までの時間や報告経路がどのような傾向にあったのか、といった点に注目しています。

また、シミュレーションを実施した後のユーザーへの教育では、どのようにフィッシングメールを見分けるか、という点よりも、メール機能やメール内に記載されているセキュリティに関する表示／警告がどのような意味を持っているものか、という点を理解してもらうことに重点を置いています。

例えば、「Office 365のボイスメールの通知を偽装するメールが多く報告されている」とレポートから明らかになったときは、実際のフィッシングメールを模したフィッシングシミュレーションを行います。フィッシングメールでは、ユーザーに添付ファイルを開かせるために「この添付ファイルは安全が確認されているので開いてください」といった趣旨の文言を添え、ユーザーを誘導します。シミュレーションを行った後、ユーザーには、Office 365の機能として表示されている「Office 365 でのメール メッセージの安全性に関するヒント」がどのような意味を持つのか、この機能やメールの文中では危険性を示すことはあっても、安全であると強調するような機能は無いことを周知します。

◆トレーニング
シミュレーションを実施した後や、サイバーセキュリティ月間などには、フィッシングについてより理解を深めてもらうために、組織のユーザー向けトレーニングを実施しています。主にオンライン形式のトレーニングで、トレーニングの途中にクイズを入れるなど、インタラクティブな構成にすることで、よりユーザーが学習しやすいように配慮しています。

また、トレーニングでは、フィッシングの技術的な側面やフィッシングの見分け方よりも、疑わしいと思った場合どのような行動をすべきなのか、ということを理解した上で、覚えてもらうことに力を入れています。「怪しいメールだと思ったらどこに報告するのか」「フィッシングと思われるリンクをクリックしてしまったらどうするのか」――ユーザーにとっての「110番」はどこなのか、ということを繰り返し伝えることで、いざというときにすぐに思い出してもらえるようにしておくことが重要だと考えています。こうしたことから、社内のセキュリティ事項を受け付ける窓口を一本化し、覚えやすいショートURLや社内用アプリを利用して、「ここにアクセスすれば大丈夫」というわかりやすいメッセージにすることで、組織内のユーザーに覚えてもらいやすいようにしています。

◆報告文化の醸成
セキュリティ管理策をすり抜けてユーザーが閲覧してしまったフィッシングメールに対し、より効果的に対策していくためには、疑わしいメールを受け取ったユーザーから、より良い報告を行うための文化を醸成することが重要です。

そのためには、ユーザーに報告の方法を教えるだけではなく、より簡単な報告方法を提供し、報告しやすい環境づくりが欠かせません。組織内のユーザーは、通常の業務で多忙なので、報告方法は極力簡単にしないとなかなか報告してくれませんし、報告のために業務負担が大きく増えるようでは元も子もないでしょう。

マイクロソフトでは、Office 365/ Microsoft Outlook のアドオンとして利用可能な「メール報告のアドオン」を活用しています。このアドオンを導入すると、Outlookのメニューに「メールを報告する」というメニューがリボンに追加されます。ユーザーが怪しいと思ったメールがあれば、「メールを報告する」ボタンをクリックするだけで報告は完了です。簡単な方法を提供することで、ユーザーの負担を軽減できるだけでなく、報告率の向上も期待できます。また、報告されたメールは、管理者が確認し、件数や内容をレポートで分析することも可能です。

さらに、ユーザーからの報告を受け付けるだけではなく、報告したユーザーに、調査結果などのフィードバック返信するようにしています。報告のあったメールがフィッシングであったかどうかを伝えることで、ユーザーはよりフィッシングについての理解を深められます。また、報告を行ったことに対して、きちんとセキュリティ管理者側が反応を返すことで、報告に対するユーザーのモチベーションを維持し、精度の高いレポーティングの文化を育てることができます。

*　*　*

電子メールは、業務に欠かせないツールの1つです。日々多数のメールを利用するユーザーをフィッシング攻撃から守るためには、ユーザーの利便性とのバランスを取りながら、さまざまな観点からベストな対策を検討する必要があり、唯一無二の絶対的な対策はありません。また、対策は日々の状況やレポートから得られる知見を基に常に改善し、進化させていくことが重要です。今回ご紹介したマイクロソフトの社内ITでの事例が参考になればと思います。