セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

Office 365のセキュリティ対策


8月31日、英国サイバーセキュリティセンター(NCSC)が英国のサイバーインシデントについてまとめた報告書を公開しました。

同報告書は、2018年10月から2019年4月までに英国内で観測されたサイバーインシデントの動向をまとめたものです。英国の企業に大きな影響を与える要素としては、次の5つが挙げられました。

  • Office 365
  • ランサムウェア
  • フィッシング
  • 脆弱性スキャン
  • サプライチェーン攻撃

今回は、このうち日本企業の間でも急速に導入が進んでいる「Office 365」のリスクと対応策についてご紹介します。

Office 365を狙うパスワードスプレー攻撃

同報告書において、Office 365に対して多く見られる攻撃として「パスワードスプレー攻撃」が挙げられています。パスワードスプレー攻撃は、IDとパスワードを組み合わせて連続的に攻撃するブルートフォース攻撃の一種です。

ログイン制御を持つシステムには、一定回数ログインが失敗すると、アカウントをロックしたり、別の方法で認証を要求したりする仕組みを持つものがあります。このような仕組みの上では、従来のブルートフォース攻撃は容易に検知されます。

一方、パスワードスプレー攻撃は、同じパスワードを複数のIDに対して同時に試行し、失敗したらIPアドレスを変えたり、時間を置いたりして、別のパスワードで同様に試すといった方法を取ります。このように、長期間にわたってログイン試行をすることで、ペナルティや検知を回避するのです。

攻撃者の目的

攻撃者がOffice 365を狙う目的は、主に以下の3つに分類されます。

  1. Office 365に保存されたファイルや受信ボックスへのアクセス
    これは主に、企業の機密情報の窃取や諜報活動を目的としています。送受信メールのコピーを攻撃者に転送するように設定されてしまうケースもあります。
  2. 乗っ取ったアカウントを踏み台にし、標的ユーザーを攻撃
    組織内に攻撃を拡大したり、信頼できるユーザーのアカウントから不正なメールを送付することで、標的に攻撃を仕掛けます。
  3. 企業ネットワークへの侵入する
    Office 365の資格情報を企業VPNにも利用し、企業ネットワークに侵入します。

対策

Office 365では、アカウント乗っ取りや不正アクセス等への対策が用意されています。以下は、NCSCやマイクロソフトが推奨する対策です。

多要素認証の導入

先述の通り、IDとパスワードのみによる認証には、パスワード攻撃等によって突破されてしまう危険性を伴います。そこで、マイクロソフトでは多要素認証の導入が推奨されています。
Office 365では、管理者からユーザーに多要素認証の設定をするよう要求することができます。標準搭載されている認証機能は次の通りです。

  • モバイルアプリケーション「Microsoft Authenticator」による認証
  • 電話/SMSによる認証

とはいえ、各クラウドサービスやアプリケーション毎に別の方法で多要素認証を行うのでは、利便性を損なってしまいます。
この場合、ADFS(Active Directory フェデレーションサービス)等で社内ADと認証連携すれば、Office 365等のクラウドサービスを含めた総合的なシングルサインオンが可能となります。

レガシー認証を無効化する

クライアントアプリケーションからOffice 365へのアクセス方式には、先進認証とレガシー認証の2通りがあります。
先進認証ではブラウザを使用した認証を行うため、多要素認証やアクセス制御が可能となります。
一方、レガシー認証はIDとパスワードのみを要求する従来の認証方式で、Office 2010などの古いOfficeクライアントやIMAP/SMTP/POP等のメールプロトコルを使用するアプリケーションで使用されています。レガシー認証は先述したパスワードスプレー攻撃やブルートフォース攻撃、パスワードリスト型攻撃等の対象となるため、レガシー認証を使用するアプリケーションからのアクセスをブロックすることが推奨されています。

Outlook2016/2019では、先進認証が標準の認証方式となっていますが、アカウント設定時に「POP/IMAPで接続」するような設定を行った場合は、レガシー認証になっています。Outlook2013では、デフォルトでは先進認証が未設定となっているため、管理者が設定を行う必要があります。

監査ログを有効化する

外部からの不正なアクセス試行や、正規のユーザが情報漏洩等を発生させた場合に備えて、十分なログが収集されるように設定しておきましょう。

Office 365に標準搭載されている「監査ログ」に記録される主な操作は次の通りです。

  • Exchange Onlineへのログイン、メールの作成・コピー・移動・削除
  • SharePoint Online/OneDrive for Business上のデータへのアクセス・削除・ダウンロード・共有
  • Teamsへのアクセス、チームの作成/削除、チャネルの追加/変更
  • 管理者の操作(ユーザーの作成/変更/削除/パスワードの変更、権限の変更/削除 等)

デフォルトでは監査ログが未設定のままとなっているため、管理者はOffice 365 の「セキュリティ/コンプライアンスセンター」で有効化する必要があります。

【設定方法】
①「管理センター」→「セキュリティとコンプライアンス」をクリック
②「検索と調査」→「監査ログの検索」をクリック
③「ユーザーと管理者のアクティビティの記録を開始する」→「有効にする」をクリック
※有効化されるまでに24時間かかります。
④「セキュリティとコンプライアンス」より確認

最後に

ここまで、Office 365を狙う手口とその対策についてご紹介しました。

今回紹介したパスワード攻撃による不正ログイン以外にも、未知のマルウェアやゼロデイ攻撃、正規ユーザによる情報の持ち出し等、クラウド環境には様々なセキュリティリスクが伴います。
クラウド環境のセキュリティをより強化するのであれば、セキュリティ対策製品を導入するのも一つの手段です。

CheckPoint CloudGuard SaaSは、Office 365をはじめとするSaaSアプリケーションのアカウント乗っ取りを検知・防止します。また、許可されていないユーザーやデバイスをブロックするため、攻撃者が正しい資格情報を有していても疑わしいログインを阻止することが可能です。

CloudGuard SaaSについての詳細はこちらから
img_CC_SaaS

参考

Incident trends report (October 2018 – April 2019)|NCSC
Advisory: The rise of O365 compromise and how to mitigate(PDF)|NCSC
セキュリティ/コンプライアンス センターで監査ログを検索する| Microsoft

記事一覧に戻る