フィッシング攻撃を阻止する5つのMicrosoft 365管理センターのOutlook設定

これらの組織のうち、米国だけで60万社がOffice 365を使用しています。最近のパンデミックにより、企業や機関がリモートで仕事をするという新しい常識に適応しつつある中、Outlook の電子メール セキュリティの脆弱性は、IT 管理者にとって大きな課題となり得ます。

実際、英国の国家サイバーセキュリティセンター（NCSC）と米国国土安全保障省（DHS）のサイバーセキュリティ・インフラストラクチャ安全保障局（CISA）は、COVID-19のサイバーセキュリティ上の課題に対処するための共同勧告を発表しました。

AIエンドポイント・セキュリティ・プロバイダーSentinelOneのデータから、2月23日から3月16日の間にユーザーアカウントへの攻撃未遂が300%以上急増したことが明らかになりました！

ここでは、よくあるフィッシング攻撃について、Outlook のセキュリティ設定やベストプラクティスとともに詳しく説明します。

2019年10月、セキュリティ企業のMcAfeeは、ハッカーが偽のボイスメールメッセージを使用してユーザーを騙し、Office 365アカウントの認証情報を教えるという新たなフィッシングの傾向を観測しました。この攻撃は、金融、IT、小売、保険、製造、インフラ、エネルギー、政府、法務、教育、ヘルスケア、運輸など、さまざまな業界で働く中間管理職からエグゼクティブ層までのユーザーを標的としていました。

どのように機能しますか？

これらのメールにはHTMLの添付ファイルが含まれており、これを開くとフィッシング・ページにリダイレクトされます。このページでは、誰かが話している短い音声が再生され、ページの正当性が高まります。McAfeeのリサーチャーによると、「このフィッシング・キャンペーンが他のキャンペーンと異なるのは、音声を取り入れることで緊急性を演出し、被害者に悪意のあるリンクへのアクセスを促している点です」とのことです。

解決策:。

ステップ1: "Apps "セクションで、"Admin "を選択します。

ステップ2: "show all "をクリックすると、非表示のオプションが表示されます。

ステップ3: "Admin centers "セクションで、"Exchange "を選択します。

ステップ4: 「メールフロー」をクリックします。

ステップ5: "+"アイコンをクリックし、"新しいルールを作成... "を選択して、新しいルールを作成します。

ステップ6: ルールの名前を入力し、"More options... "をクリックします。

ステップ7: 「もし...ならこのルールを適用する」セクションで、「すべての添付ファイル...」を選択し、「ファイル拡張子にこれらの単語が含まれる」を選択します。

ステップ8: "+"アイコンを選択し、"OK "をクリックして、追跡/フィルタリングしたいファイル拡張子のタイプ(htmlなど)を入力します。

1.実行可能ファイル: ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf、wsh、exe、pif。

2.マクロをサポートするOfficeファイル: doc, xls, docm, xlsm, pptm

ステップ9: "条件を追加 "をクリックします。"次のことをする... "セクションで、"メッセージで受信者に通知する... "を選択します。

ステップ10：メッセージ（参考用）を追加し、"OK "をクリックします。

ステップ11: 上記で定義したルールに例外を追加したい場合は、"Except if... "セクションを選択し、"add exception "をクリックしてください。例外が必要ない場合は、ステップ12-14をスキップしてください。

ステップ12: "送信者... "を選択し、"この人です "をクリックします。

ステップ13: 「送信者」を選択し、「追加->」をクリックします。

ステップ14: "OK "をクリックしてください。

ステップ15: "保存 "をクリックします。

ステップ16: 「ルール」が正常に作成されました。"ルール "の下の "ルールの作成 "セクションで確認できます。

Confense Phishing Defense Centre は最近、Office 365ユーザーを狙った新しいフィッシング詐欺を発見しました。この詐欺の目的は、昇給を期待している従業員のOffice 365アカウント認証情報を収集することでした。

どのように機能しますか？

サイバー犯罪者は、「差出人アドレス」を操作することで、受信者に人事部門からのメールであると信じ込ませ、悪意のあるメールを送信します。このメールには、"salary-increase-sheet-November2019.xls"と名付けられた、従業員の昇給に関する詳細なスプレッドシートであると主張するリンクが埋め込まれていました。このリンクは、ユーザーを偽の Microsoft 365 ログイン ページにリダイレクトします。スプレッドシートを表示するには、ユーザーは Office 365 アカウントにログインする必要があります。この偽のログイン ページには、ウェブサイトの正当性を高めるために電子メール ID が事前に入力されています。

Confense Phishing Defense Centerによると、「受信者に、SharePointでホストされているドキュメントにリンクされていると思わせるというものです。しかし、リンク先はhxxps://salary365[.]web[.]app/#/auth-pass-form/にホストされている外部のウェブサイトです。この悪意のあるURLの文脈から、このフィッシングの試みのために特別に選択され、ホストされていると考えることができます"

ステップ1: "Apps "セクションで、"Admin "をクリックします。

ステップ2："show all "をクリックします。

ステップ3："Admin centers "セクションで、"Exchange "をクリックします。

ステップ4："保護 "をクリックします。

ステップ5: 「DKIM」を選択し、DKIMを有効にするドメインを選択します。

ステップ6: "Enable "をクリックします。

ステップ7: 表示された「CNAME」レコードをレジストラサイトからドメインに追加し、なりすましからドメインを保護します。

Zscaler ThreatLabZ は、Microsoft Azureカスタムドメインを使用したフィッシング攻撃を検出しました。サイバー犯罪者は、Webサイトを合法的に見せるために、Microsoft SSL証明書を使用してフィッシングサイトをホストしていました。

どのように動作するのか攻撃者はスパムメールを送信し、ユーザーにメールの一部が隔離されたことを知らせます。メールを見るために、ユーザーは「メールを見る」ボタンをクリックするよう促され、攻撃者がマイクロソフトのSSL証明書を使用して作成した偽のOutlookログインページにリダイレクトされます。

解決策：

Bleeping Computer は、Googleの検索クエリがエンコードされたURLを経由してユーザーを偽のMicrosoft Officeログインページにリダイレクトさせるフィッシングキャンペーンを報告しました。URLエンコーディング（パーセントエンコーディングとも呼ばれる）は、印刷不可能な文字や特殊な文字を、ウェブサーバーやブラウザが普遍的に受け入れられる形式に変換するメカニズムです。これにより、サイバー犯罪者は、悪意のある電子メールをブロックするセキュアな電子メールゲートウェイ（SEG）からフィッシングページのURLを隠すことができます。

どのように機能するのか Cofense Phishing Defense Centerの研究者は、フィッシングメールが有名なアメリカのブランドの侵害されたメールアカウントから送信され、支払い待ちの新しい請求書についてユーザーに知らせていることを発見しました。

このボタンをクリックすると、Googleのリダイレクト通知が表示され、解読されたフィッシング・ドメインに送信され、それ以上先に進みたくない場合は前のページに戻ることができることが通知されました。「これは、境界デバイスによる基本的なURLとドメインのチェックを欺くのに十分であり、脅威行為者が悪意のあるペイロードを確実に配信するためのシンプルかつ効果的な方法です」とCofenseは付け加えています。悪意のあるURLは、ユーザーを偽のMicrosoftログインページに誘導し、Office 365の認証情報を収集することを目的としています。

解決策:このような攻撃を防ぐために、ドメイン内のすべてのユーザーのOutlookセキュリティ設定で多要素認証(MFA)を有効にすることをお勧めします。MFAを有効にすると、ユーザーアカウントの認証情報が漏洩した場合でも、ユーザーアカウントに追加のセキュリティレイヤーを提供します。

ステップ1: "Apps "セクションで、"Admin "を選択します。

ステップ2: "すべて表示 "をクリックします。

ステップ3: "設定 "セクションで、"アドイン "を選択します。

ステップ4: "Azure多要素認証 "をクリックします。

ステップ5: "多要素認証の管理 "をクリックします。

ステップ6: 「表示」オプションの隣にあるドロップダウンメニューをクリックします。

ステップ7: MFAを有効にするために必要なグループまたは個々のユーザーを選択します。

ステップ8: "Enable "をクリックします。

サイバー犯罪者は、ユーザーを騙してアカウント情報を漏えいさせるために、ありとあらゆる方法を使います。これにより、攻撃者は被害者の機密データにアクセスできるようになります。しかし、 このタイプのフィッシング攻撃では、サイバー犯罪者は従業員をターゲットにするのではなく、Microsoft 365 の管理者に焦点を当てていることが確認されています。管理者アカウントにアクセスすると、攻撃者は組織のドメインと他のすべてのユーザーアカウントを制御できるようになります。

どのように機能しますか？

"ご想像のとおり、管理者がこの詐欺に引っかかってページに認証情報を入力すると、攻撃者に盗まれてしまいます。そのアカウントで何らかの二要素認証が有効になっていない限り、攻撃者はOffice 365の管理者ポータルへのアクセスを得ることができるでしょう" - Bleeping Computer.

ステップ1: "Apps "セクションで、"Admin"を選択します。

ステップ2: "show all "をクリックすると、非表示のオプションが表示されます。

ステップ3: "管理センター "セクションで、"セキュリティ "を選択します。

ステップ4: "Threat Management "をクリックし、"Policy "を選択します。

ステップ5: "フィルタリングの強化 "をクリックします。

ステップ6: 構成用のコネクタを選択します。

ステップ7: "最後のIPアドレスを自動的に検出してスキップする "を選択します。

ステップ8: 「組織全体に適用」を選択し、「保存」をクリックします。

ステップ9: 「拡張フィルタリング」が有効になります。

1.フィッシング電子メール:攻撃者は、マルウェアの添付ファイルまたは悪意のある Web サイトへの URL リンクを含む電子メールを送信することで、COVID-19 の状況を利用しています。適切なウイルス対策ソフトウェアやWebフィルタが設置されていない場合、これらの攻撃によってユーザーアカウントが危険にさらされ、ランサムウェア攻撃や重要なデータの漏洩につながる可能性があります。

以下は、Threatpostによって報告された最近の攻撃を紹介します：

WHOまたはウクライナ公衆衛生センターから送信されたCOVID-19に関する情報を主張する悪意のある添付ファイル付き電子メール。

2.悪意のあるサイト：Forbesによる最近の記事によると、2,500のCOVID-19サイトがあり、フィッシングメールや有害なリンクでユーザーを標的にし、偽のログインページで認証情報を盗んだり、システムにマルウェアをダウンロードしてさらなる攻撃を仕掛けたりしています。

3.VPNセキュリティの問題：VPNだけを使用しても、もはやビジネスのセキュリティを保証することはできません。ウイルス対策ソフトウェアやその他のセキュリティのベストプラクティスと組み合わせる必要があります。Dark Reading によると、フィッシングメールや悪意のあるサイトを経由してシステムに侵入したマルウェアが、侵入したユーザーのVPNアカウントを経由して攻撃を開始したという事例があります。従業員が自宅から業務アプリケーションにアクセスするために自分でVPNをセットアップしようとすると、（VPNソフトウェアとして宣伝されている）マルウェアの餌食になることがあります。