「Microsoft 365」の資格情報はこうして盗まれる 企業が取るべき対策は?多要素認証(MFA)の抜け道をふさぐ【中編】

Microsoftのセキュリティ研究チームは「Microsoft 365」ユーザーが標的となったフィッシング攻撃「AiTM」について調査結果を公表している。企業はどのような対策を取るべきなのか。

2022年09月09日 05時00分 公開
[TechTarget]

 Microsoftのセキュリティ研究チームは、フィッシング攻撃「Adversary-in-the-Middle」(AiTM)についての調査結果を発表した。同チームによると、2021年9月以降、1万社を超える企業がこの攻撃の標的となっており、Microsoftのサブスクリプション型オフィススイート「Microsoft 365」のユーザーも被害を受けている。

 セキュリティ教育ツールベンダーCybSafeのCEO兼共同設立者のオズ・アラシェ氏はこの攻撃について、「企業がこの攻撃に巻き込まれた理由は明らかだ」と述べる。

資格情報を盗む「AiTM」の手口 対策のポイントは?

 AiTMはフィッシングサイトを利用して被害者のパスワードを盗み出し、セッションハイジャック(利用者を識別するための情報であるセッションIDを盗取して、本人になりすまして通信を行うこと)を実行する。これにより多要素認証(MFA)のような認証プロセスを迂回(うかい)する。

 アラシェ氏によると、Microsoftの製品を標的としたAiTMを見ると、ユーザーの資格情報を盗むために攻撃者が利用する手法が分かるという。今回の攻撃では、Microsoft 365のユーザーは本物そっくりのサインインページに誘導された。これは普通の人では偽物だと見抜くことが難しい。「多くの人や企業が巻き込まれたことは驚くようなことではない」と同氏は語る。

 ユーザーがWebサービスのサインインに必要な自身の資格情報を偽のサインインページ入力すると、攻撃者は企業のシステムへアクセスできる鍵を手に入れることができる。攻撃者はその鍵を用いて企業のファイルにアクセスし、企業の機密データを入手する。

 こうした攻撃を防ぐために企業が取るべき対策は、従業員がデスクトップアプリケーションのみを使用してMicrosoft 365にサインインするよう指導することだ。一度指導するだけでは不十分のため、複数回の注意喚起が必要だ。フィッシング攻撃は、「これは新しい情報に違いない」「今回だけは資格情報の入力が必要に違いない」と標的のユーザーが思い込むよう仕向けている。

 アラシェ氏は「メールで送られてくるリンクは、どのようなものであれ慎重に扱うべきだ」と語る。ユーザーはURLをクリックしたり機密情報を開示したりする前に、そのURLがMicrosoft 365の正しいURL(https://www.office.com/)を含んでいることを、必ず確認することが重要だ。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news135.png

インターネットの利用環境、女性の66%は「スマホのみ」――LINEヤフー調査
LINEヤフーが実施した2023年下期のインターネット利用環境に関する調査結果です。

news108.png

LINEで求職者に合った採用情報を配信 No Companyが「チャットボット for 採用マーケティング」を提供開始
就活生が身近に利用しているLINEを通して手軽に自社の採用情報を受け取れる環境を作れる。

news102.jpg

GoogleがIABのプライバシーサンドボックス批判に猛反論 完全論破へ42ページのレポートを公開
Googleは、米インタラクティブ広告協会から寄せられた批判について「多くの誤解と不正確...