Microsoft Office 365 におけるフィッシング攻撃の検知と防止方法
Microsoft 365でのデータ漏洩は、このSaaSスイートを利用するあらゆる企業に深刻な損害をもたらす可能性があります。サイバー攻撃の多くはフィッシングメールから始まるため、ビジネスデータを保護するには、信頼性の高いMicrosoft 365のフィッシング対策が不可欠です。
本記事では、Microsoft 365におけるフィッシングメールの種類を挙げ、その見分け方を解説します。サイバー攻撃に対する組織のセキュリティを強化するための対策について、ぜひご一読ください。
Microsoft Office 365におけるフィッシングとは何ですか?
攻撃の種類や対策について説明する前に、まずフィッシングとは何かを定義しておきましょう。この特定のサイバー脅威の本質を理解することで、IT専門家はビジネスインフラやデータを効果的に保護できるようになります。
フィッシングの定義
セキュリティの専門家は、フィッシングを、電子メールを用いたソーシャルエンジニアリングの手法を用いてユーザーを欺き、ITシステムへの侵入を図るサイバー攻撃の手法と定義しています。この欺瞞行為の目的は、パスワードの開示から、メールに添付された悪意のあるソフトウェアのダウンロードまで多岐にわたります。ランサムウェア攻撃の大部分は、フィッシングによるサイバー侵入をきっかけとして発生しています。
Microsoft Office 365がフィッシング攻撃の標的になりやすい理由
ハッカーがMicrosoft 365のインフラを標的とするのは、データの価値と、そのデータを盗むことで得られる潜在的な利益のためです。彼らは通常、被害者にとって見覚えのあるようなO365フィッシングメールを作成します。その内容は、同僚からの支援依頼、社内ニュース、あるいはサービスの契約更新通知など多岐にわたります。悪意のあるメールを正当なものに見せるため、差出人アドレスは一見して本物のように見えるよう偽装されるのが一般的です。
もう一つの課題は、ソーシャルエンジニアリング全般、特にMicrosoft 365を標的としたフィッシング攻撃が、より洗練され、効果的になるよう進化していることです。ハッカーは、現在の地域的・世界的な出来事に合わせてメールの内容を調整したり、個人に合わせたアプローチを採用したり、その他の新しい手口を用いてメッセージの信憑性を高めたりすることができます。人工知能(AI)は、おそらくこの脅威をさらに増大させる最も危険なツールです。AIは、初期の偵察や侵入から AIを活用したランサムウェア.
Microsoft Office 365 におけるフィッシング攻撃の種類
さまざまな種類のフィッシング攻撃を理解することで、この脅威から組織のインフラやデータを効果的に保護することができます。
一斉フィッシング
この手法では、ハッカーがデータベースに保有する受信者全員に対して、数万通ものメールを一斉に送信します。バルクフィッシングは対象を厳選する手法ではなく、内容ではなく"数"に頼るため、通常は可能な限り広範な層を標的とします。バルクフィッシングのメールは頻繁に届きますが、比較的検知しやすいのが特徴です。Microsoft Office 365に組み込まれた詐欺・スパムフィルターを利用すれば、バルクフィッシングメールを効率的に特定し、警告表示させることができます。
スピアフィッシング
一斉送信型のフィッシングとは異なり、スピアフィッシングは綿密なソーシャルエンジニアリングを用いて、極めて個人に合わせたメッセージを作成します。特定のユーザーを標的とするため、この種のフィッシングは他のいかなるサイバー攻撃よりも効果的です。
スピアフィッシングメールを作成する前に、ハッカーは事前調査を行い、標的となる組織やそのパートナー、経営陣、従業員に関する情報を収集することがあります。AIを活用したツールにより調査がより簡単かつ迅速に行えるようになったため、スピアフィッシングの試みは今後さらに増加すると予想されます。
攻撃者は収集したデータを利用して、標的にとって馴染みのある名前、場所、電話番号、または出来事を盛り込んだ、一見正当なメッセージを作成します。要約すると、スピアフィッシングは攻撃者にとってバルクフィッシングよりも手間がかかりますが、より効果的です。
捕鯨
本質的に、ホエールングはスピアフィッシングの一種であり、主に経営幹部、投資家、事業主を標的としています。ハッカーは、メディアからの取材依頼、財務関連のメッセージ、あるいはビジネス上の連絡のように見せかけたホエールングメールを作成し、トップレベルの要人を誘い込み、操ろうとします。 例えば、ホエーリングのメッセージは、支払請求書、顧客からの依頼、あるいは提携契約書を模倣しています。
被害者は、保有する知識やデータ、そして企業アカウントが通常持つシステムへのアクセス権限の高さから、狙われやすいターゲットとなります。経営幹部のアカウントを乗っ取れば、ハッカーは機密情報への重要なアクセス権限を得ることができます。そして、その侵害を利用して大規模な攻撃を仕掛けることが可能になります。
CEOによる不正
Office 365 におけるフィッシングメールの手口として、もう 1 つ"CEO 詐欺"があります。この種のフィッシングメールでは、攻撃者が CEO を装い、従業員に重要な情報を伝えているかのように見せかけます。例えば、メッセージは重要なポリシーの更新や、緊急の資金送金依頼のように見える場合があります。しかし、その目的は常に同じです。つまり、受信者を欺き、データを共有させたり、悪意のあるリンクをクリックさせたり、感染した添付ファイルをダウンロードさせたりすることです。
この種のフィッシングをよりよく理解するために、昇進を期待している人が、その件に関するメールを受け取った場面を想像してみてください。 攻撃者は、おそらくメールアドレスを偽装し、企業のメールレイアウトを模倣し、さらには現在のAI技術を活用して、その組織のCEOの話し方まで真似てくるでしょう。社員は偽の経営幹部からのメッセージを読み、指示に従ってリンクをクリックすることで、社内にランサムウェアを拡散させてしまうのです。
フィルタの回避
マイクロソフトは、悪意のあるメッセージを確実にすべて検出できるとは限らない強力な Office 365 フィッシングフィルターを実装しています。攻撃者は、ソフトウェアのフィルターをすり抜け、正当なメッセージとしてユーザーの受信箱に届くようなフィッシングメールを作成します。
この種のフィッシングには、次のようなものがあります:
- 添付画像に悪意のあるコードを埋め込む。
- 信頼できる有名なウェブサイトへのリンクとフィッシングリンクを混ぜ合わせる。
- 悪意のあるコードを隠すために、大量の"無害な"コンテンツを追加する。
- URL短縮ツールの活用。
これらの手口はかなり原始的で、検知を免れることさえできないかもしれません。しかし、何千通ものフィッシングメールを送信すれば、フィルタを通過したメッセージがわずか1%であっても、複数のデータ漏洩を引き起こす可能性があります。
フィッシュポイント
Microsoft Office 365 に関するフィッシング攻撃において、PhishPoint は特に注目すべき手口です。ハッカーはまず、Microsoft 365 の試用版にある SharePoint ファイルに悪意のあるリンクを埋め込みます。その後、ユーザーは SharePoint 内の特定のファイルにアクセスして共同作業を行うよう招待されます。
ユーザーがリンクをクリックすると、偽の OneDrive ファイルアクセス要求ページにリダイレクトされ、そこからさらに別の偽装ページへと誘導する悪意のある URL が表示されます。このページは通常、Microsoft 365 のログイン画面を模倣したものです。 ユーザーはログイン情報を入力しますが、その情報はMicrosoft 365アカウントへのアクセス権を付与するのではなく、ハッカーのデータベースに送信されます。
Office 365 でフィッシング攻撃を検知する方法
Microsoft 365 に対するフィッシング攻撃の主な種類について理解できたところで、次はそれらの検知方法について見ていきましょう。メールの内容の特定の箇所を確認することで、Office 365 のメールボックス内の悪意のあるメッセージをより効果的に見分けることができます。
フィッシングメールの特徴
一般的なMicrosoft Office 365のフィッシングメールに見られる典型的な兆候は以下の通りです:
- 句読点や文法の誤り:"you is"、"hallo"、"can to"。
- 組織名のスペルミス:"SqaceX"、"Micnosoft"、"Arnazon"。
- 誤ったメールアドレス:"support@mirosoft.com"、"press@slarbucks.com"、"johndoe@support.fasebook.com"。
- 緊急性をアピールする:"アカウントが削除されます"、"セキュリティ侵害"、"緊急のお知らせ"。
- 押し付けがましい行動喚起の表現――"至急リンクをクリックしてください"、"アカウントのセキュリティを確保するため、添付ファイルをダウンロードしてください"、"このフォームから直ちにご連絡ください"。
人工知能(AI)ツールの登場により、Microsoft 365を対象としたフィッシングメールの脅威レベルは大幅に高まっています。AIを活用することで、攻撃者は許容できるレベルの品質を維持しつつ、短期間でより多くのメッセージを生成できるようになりました。AIで生成されたメールは本物のように見えるかもしれませんが、送信者アドレスやリンクを注意深く確認することで、被害を防ぐことができます。
Office 365におけるフィッシング対策の効果的な手法
Microsoft Office 365 を標的としたフィッシング攻撃の成功は、通常、次の 2 つの要因が組み合わさった結果です:
- 組織内におけるMicrosoft 365のフィッシング対策が不十分である。
- その脅威に気づいていない従業員、あるいは基本的なオンラインセキュリティの原則を軽視してしまうほど不注意な従業員。
IT環境におけるO365のフィッシング対策の効果を高めるため、以下の推奨事項の適用をご検討ください。
多要素認証(MFA)を設定する
Microsoftは、自社アカウントにおける多要素認証(MFA)をサポートしています。MFAは、Microsoft 365のサインイン手順にセキュリティの層を追加します。MFAを有効にすると、ユーザーはSMSで受信した、またはサードパーティ製認証アプリで生成されたワンタイム認証コードを入力する必要があります。
多要素認証を設定することで、ユーザー名とパスワードの組み合わせだけではハッカーがアカウントにアクセスできなくなるため、M365のセキュリティが強化されます。 セキュリティと速度の面でメリットがあるため、MicrosoftではSMSによる認証よりも認証アプリの使用を推奨しています。
Office 365 のフィッシング対策ポリシーを設定する
Exchange Online では、フィッシング対策ポリシーを設定して、フィッシング攻撃からの保護を強化できます。これらのポリシーを適切に構成することで、悪意のあるメールを早期に検知し、ブロックすることが可能になります。システムは、メール送信者のドメイン、添付された URL、なりすましの疑いがあるケースなどのデータを分析します。
電子メール認証規格(SPF、DKIM、DMARC)を使用する
電子メール認証の標準規格は、送信者とメールの両方が正当であることを保証します。これらの標準規格は公開されており、誰でも利用できますが、その導入は各組織の判断に委ねられています。主な電子メール認証の標準規格は以下の通りです:
- Sender Policy Framework (SPF) – 送信者がドメインのホワイトリストに登録されているかを確認します。
- ドメインキー認証メール(DKIM) – 公開鍵基盤(PKI)を使用して、電子メールとその内容の暗号化を確認します。
- ドメインベースのメッセージ認証、報告、および準拠(DMARC) – SPF および/または DKIM を使用して送信者のドメイン認証を確認します。DMNARC は単独の認証規格ではありません。
メール認証の標準設定には、通常、ある程度の労力と時間がかかります。しかし、これにより、組織のメールボックスに届くMicrosoft 365を装ったフィッシングメールの数を大幅に減らすことができます。
ソフトウェアを定期的に更新し、パッチを適用する
フィッシング攻撃の手口は絶えず進化しているため、Windows、Exchange Online、Windows Defender、およびOfficeアプリに対するセキュリティ対策を常に最新の状態に保つ必要があります。これには、組織内でコラボレーションや業務を支援するために使用されているサードパーティ製のセキュリティソリューションやアプリも含まれます。定期的な更新を行うことで、最新の脅威からシステムを保護し、新たに発見された脆弱性に対処することができます。
従業員への教育
攻撃の種類にかかわらず、Microsoft 365 へのフィッシングメールの主な標的はユーザーです。従業員がたった一度誤ってクリックするだけで、最も高度で(かつ高価な)保護システムの効果が台無しになってしまう可能性があります。 組織内のユーザーがフィッシングの手口について十分な知識を持ち、正規のメールと偽のメールを見分けられるようにするため、情報セキュリティ研修を定期的に実施してください。
また、サイバーセキュリティ教育をIT部門だけに限定しないことをお勧めします。経営幹部、人事担当者、マーケティングや営業の専門家、経理担当者、そして組織内のあらゆる人が攻撃の標的となり得ます。内部のIT環境にアクセスできるすべてのチームメンバーは、脅威について理解し、Microsoft Office 365のフィッシングメールを検知する方法を把握しておく必要があります。
訓練を実施する
教育に加え、定期的なトレーニングを実施することで、従業員の警戒心を維持し、フィッシング対策の効果を把握することができます。さらに、組み込みの攻撃シミュレーション機能を活用すれば、Microsoft 365 でのフィッシングテストを簡単に実行できます。このシミュレーション機能は、Microsoft 365 E5 または Microsoft Defender for Office 365 Plan 2 で利用可能です。
シミュレーションの設定が完了すると、ツールは指定したユーザーに対してテスト用のフィッシングメールを送信します。 その後、各ユーザーが攻撃にどのように反応したかを確認し、必要に応じて追加のトレーニングや教育コンテンツを割り当てることができます。
NAKIVOでOffice 365データをバックアップ・保護する
フィッシングの手口が進化する中、人為的なミスによるセキュリティ侵害やデータ損失は、"起こるかどうか"ではなく"いつ起こるか"の問題となっています。セキュリティ対策が破られ、元のデータが失われたり破損したりした場合、最新のバックアップがあれば、時間、労力、そして費用を節約できます。次のような専門的なオールインワンソリューションは NAKIVO Backup & Replication Microsoft 365の効果的なバックアップと復旧を実現します。
では NAKIVO Backup & Replicationこれにより、Exchange Online、Microsoft Teams、SharePoint Online、および OneDrive for Business 内の Microsoft 365 データに対して、高速な増分バックアップを実行できます。本ソリューションは、ローカルの Windows および Linux フォルダー、クラウドプラットフォーム(Amazon S3、Wasabi、Azure Blob、Amazon EC2、その他の S3 互換ストレージ)、SMB/NFS ファイル共有、重複排除アプライアンスなど、複数のバックアップリポジトリに対応しています。 ソースサイド暗号化と不変性を有効にすることで、バックアップデータを第三者によるアクセスや、偶発的または悪意のある削除から保護できます。不変性のあるバックアップは、設定された期間内であればランサムウェアによる改ざんの影響を受けません。万が一 予防策 万が一、ランサムウェア攻撃を受けた場合でも、身代金を支払うことなくデータを復元できます。
高度な検索機能を活用すれば、Microsoft 365のバックアップから必要なデータオブジェクトを検索・復元できます。ほぼ瞬時の復旧により、規制コンプライアンス要件への対応やeディスカバリの要請への対応が可能になります。バックアップのスケジュール設定と自動化、カスタマイズ可能な保存ポリシー、エンタープライズレベルの拡張性、高度なマルチテナント機能により、管理コストを削減できます。 NAKIVO Backup & Replication 本サービスはサブスクリプション形式で提供され、ユーザー単位でのライセンス契約となり、24時間365日のサポートが含まれています。
結論
Microsoft Office 365 を標的としたフィッシング攻撃は、セキュリティ侵害を引き起こし、同スイートを利用するあらゆる企業においてデータの盗難や損失につながる可能性があります。組織の Microsoft 365 に対するフィッシング対策強化のためには、多要素認証(MFA)の設定、フィッシング対策ポリシーの策定、電子メール認証基準の適用、およびソフトウェアの更新を行うことができます。従業員への啓発や定期的なサイバーセキュリティ研修の実施は、脅威への認識を高め、フィッシングの防止に役立ちます。以下のようなデータ保護ソリューションを活用することで NAKIVO Backup & Replication 自動データバックアップを導入することは、セキュリティ侵害に続いて発生しがちなデータ損失事故の影響を軽減するための最も確実な方法です。
