「Microsoft 365」の資格情報はこうして盗まれる 企業が取るべき対策は？：多要素認証（MFA）の抜け道をふさぐ【中編】

Microsoftのセキュリティ研究チームは「Microsoft 365」ユーザーが標的となったフィッシング攻撃「AiTM」について調査結果を公表している。企業はどのような対策を取るべきなのか。

[TechTarget]

　Microsoftのセキュリティ研究チームは、フィッシング攻撃「Adversary-in-the-Middle」（AiTM）についての調査結果を発表した。同チームによると、2021年9月以降、1万社を超える企業がこの攻撃の標的となっており、Microsoftのサブスクリプション型オフィススイート「Microsoft 365」のユーザーも被害を受けている。

　セキュリティ教育ツールベンダーCybSafeのCEO兼共同設立者のオズ・アラシェ氏はこの攻撃について、「企業がこの攻撃に巻き込まれた理由は明らかだ」と述べる。

資格情報を盗む「AiTM」の手口　対策のポイントは？

併せて読みたいお薦め記事

連載：多要素認証（MFA）の抜け道をふさぐ

• 前編：「Microsoft 365」を狙うフィッシング攻撃は“あの基本機能”を悪用していた

テレワークにおけるセキュリティ対策

• 「テレワークは危ない」と考える人が恐れている“あのセキュリティ問題”とは？
• いまさら聞けない、テレワーク用デバイスに「最低限やるべき」5つのセキュリティ対策

　AiTMはフィッシングサイトを利用して被害者のパスワードを盗み出し、セッションハイジャック（利用者を識別するための情報であるセッションIDを盗取して、本人になりすまして通信を行うこと）を実行する。これにより多要素認証（MFA）のような認証プロセスを迂回（うかい）する。

　アラシェ氏によると、Microsoftの製品を標的としたAiTMを見ると、ユーザーの資格情報を盗むために攻撃者が利用する手法が分かるという。今回の攻撃では、Microsoft 365のユーザーは本物そっくりのサインインページに誘導された。これは普通の人では偽物だと見抜くことが難しい。「多くの人や企業が巻き込まれたことは驚くようなことではない」と同氏は語る。

　ユーザーがWebサービスのサインインに必要な自身の資格情報を偽のサインインページ入力すると、攻撃者は企業のシステムへアクセスできる鍵を手に入れることができる。攻撃者はその鍵を用いて企業のファイルにアクセスし、企業の機密データを入手する。

　こうした攻撃を防ぐために企業が取るべき対策は、従業員がデスクトップアプリケーションのみを使用してMicrosoft 365にサインインするよう指導することだ。一度指導するだけでは不十分のため、複数回の注意喚起が必要だ。フィッシング攻撃は、「これは新しい情報に違いない」「今回だけは資格情報の入力が必要に違いない」と標的のユーザーが思い込むよう仕向けている。

　アラシェ氏は「メールで送られてくるリンクは、どのようなものであれ慎重に扱うべきだ」と語る。ユーザーはURLをクリックしたり機密情報を開示したりする前に、そのURLがMicrosoft 365の正しいURL（https://www.office.com/）を含んでいることを、必ず確認することが重要だ。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。