「Microsoft 365」の資格情報はこうして盗まれる 企業が取るべき対策は?多要素認証(MFA)の抜け道をふさぐ【中編】

Microsoftのセキュリティ研究チームは「Microsoft 365」ユーザーが標的となったフィッシング攻撃「AiTM」について調査結果を公表している。企業はどのような対策を取るべきなのか。

2022年09月09日 05時00分 公開
[TechTarget]

 Microsoftのセキュリティ研究チームは、フィッシング攻撃「Adversary-in-the-Middle」(AiTM)についての調査結果を発表した。同チームによると、2021年9月以降、1万社を超える企業がこの攻撃の標的となっており、Microsoftのサブスクリプション型オフィススイート「Microsoft 365」のユーザーも被害を受けている。

 セキュリティ教育ツールベンダーCybSafeのCEO兼共同設立者のオズ・アラシェ氏はこの攻撃について、「企業がこの攻撃に巻き込まれた理由は明らかだ」と述べる。

資格情報を盗む「AiTM」の手口 対策のポイントは?

 AiTMはフィッシングサイトを利用して被害者のパスワードを盗み出し、セッションハイジャック(利用者を識別するための情報であるセッションIDを盗取して、本人になりすまして通信を行うこと)を実行する。これにより多要素認証(MFA)のような認証プロセスを迂回(うかい)する。

 アラシェ氏によると、Microsoftの製品を標的としたAiTMを見ると、ユーザーの資格情報を盗むために攻撃者が利用する手法が分かるという。今回の攻撃では、Microsoft 365のユーザーは本物そっくりのサインインページに誘導された。これは普通の人では偽物だと見抜くことが難しい。「多くの人や企業が巻き込まれたことは驚くようなことではない」と同氏は語る。

 ユーザーがWebサービスのサインインに必要な自身の資格情報を偽のサインインページ入力すると、攻撃者は企業のシステムへアクセスできる鍵を手に入れることができる。攻撃者はその鍵を用いて企業のファイルにアクセスし、企業の機密データを入手する。

 こうした攻撃を防ぐために企業が取るべき対策は、従業員がデスクトップアプリケーションのみを使用してMicrosoft 365にサインインするよう指導することだ。一度指導するだけでは不十分のため、複数回の注意喚起が必要だ。フィッシング攻撃は、「これは新しい情報に違いない」「今回だけは資格情報の入力が必要に違いない」と標的のユーザーが思い込むよう仕向けている。

 アラシェ氏は「メールで送られてくるリンクは、どのようなものであれ慎重に扱うべきだ」と語る。ユーザーはURLをクリックしたり機密情報を開示したりする前に、そのURLがMicrosoft 365の正しいURL(https://www.office.com/)を含んでいることを、必ず確認することが重要だ。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news101.jpg

郵送業務を電子化する理由 3位「テレワークへの対応」、2位「業務の迅速化・省力化」で1位は?――リンクス調査
キャンペーンのお知らせや新商品の紹介のダイレクトメールなど、個人宛てに送付する郵便...

news172.png

WACULが「AIアナリストSEO」を大幅刷新 コンテンツ作成×外部対策×内部対策×CVR改善をワンストップで支援
月額30万円でAI技術を活用したコンテンツ制作、約4万サイトの支援データ、熟練コンサルタ...

news150.jpg

SFAツール「Kairos3 Sales」にモバイルアプリ版 訪問営業の生産性向上へ
モバイルアプリ上で、リアルタイムで営業活動の確認・記録が可能になる。