フィッシング攻撃を防ぐMicrosoft 365管理センターのOutlookセキュリティ設定

管理センター-セキュリティとコンプライアンスの設定

COVid-19をテーマにしたフィッシング攻撃

Outlook セキュリティのベストプラクティス

クラウドデータを今すぐ保護しましょう！

IT管理者として、Outlookのセキュリティの脆弱性について考えたことはありますか？

 これらの組織のうち、米国だけで60万社がOffice 365を使用しています。最近のパンデミックにより、企業や機関がリモートで仕事をするという新しい常識に適応しつつある中、Outlook の電子メール セキュリティの脆弱性は、IT 管理者にとって大きな課題となり得ます。

実際、英国の国家サイバーセキュリティセンター（NCSC）と米国国土安全保障省（DHS）のサイバーセキュリティ・インフラストラクチャ安全保障局（CISA）は、COVID-19のサイバーセキュリティ上の課題に対処するための共同勧告を発表しました。

AIエンドポイント・セキュリティ・プロバイダーSentinelOneのデータから、2月23日から3月16日の間にユーザーアカウントへの攻撃未遂が300%以上急増したことが明らかになりました！

ここでは、よくあるフィッシング攻撃について、Outlook のセキュリティ設定やベストプラクティスとともに詳しく説明します。

2019年10月、セキュリティ企業のMcAfeeは、ハッカーが偽のボイスメールメッセージを使用してユーザーを騙し、Office 365アカウントの認証情報を教えるという新たなフィッシングの傾向を観測しました。この攻撃は、金融、IT、小売、保険、製造、インフラ、エネルギー、政府、法務、教育、ヘルスケア、運輸など、さまざまな業界で働く中間管理職からエグゼクティブ層までのユーザーを標的としていました。

ハッカーは、マイクロソフトのロゴが入った悪意のあるメールをユーザーに送りつけ、特定の電話番号から不在着信があったことを知らせます。

以下はそのようなメールの一例です：

これらのメールにはHTMLの添付ファイルが含まれており、これを開くとフィッシング・ページにリダイレクトされます。このページでは、誰かが話している短い音声が再生され、ページの正当性が高まります。McAfeeのリサーチャーによると、「このフィッシング・キャンペーンが他のキャンペーンと異なるのは、音声を取り入れることで緊急性を演出し、被害者に悪意のあるリンクへのアクセスを促している点です」とのことです。

録音が再生されると、ユーザーは偽のOffice 365ログインページにリダイレクトされ、フル録音を聞くためにログインするよう促されます。この偽のログインページには、ウェブサイトの信頼性を高めるためにメールアドレスがあらかじめ入力されています。パスワードを入力すると、ユーザーはログイン成功のメッセージを受け取り、元のOffice 365ログインページにリダイレクトされます。

この攻撃の主な目的は、できるだけ多くのユーザーを騙してアカウントの認証情報を漏えいさせることです。これにより、サイバー犯罪者は組織関連の機密情報にアクセスしやすくなり、なりすまし攻撃の可能性が高まるため、企業の評判が低下します。

Microsoft 365には、メールフロールール（トランスポートルールと呼ばれる）を設定することで、電子メールの添付ファイルを検査するOutlookセキュリティのオプションが組み込まれています。メールフロールールは、セキュリティとコンプライアンスのニーズの一環として、電子メールの添付ファイルを検査します。

メールの添付ファイルが疑わしいと判断された場合、管理者はメッセージに免責事項を追加したり、メッセージの配信をブロックしたり、送信者に問題を通知したりすることができます。

.html添付のメールをフィルタリングし、そのようなメールにアクション項目を追加するには、以下の手順に従ってルールを作成します：

ステップ1: "Apps "セクションで、"Admin "を選択します。

ステップ2: "show all "をクリックすると、非表示のオプションが表示されます。

ステップ3: "Admin centers "セクションで、"Exchange "を選択します。

ステップ4: 「メールフロー」をクリックします。

ステップ5: "+"アイコンをクリックし、"新しいルールを作成... "を選択して、新しいルールを作成します。

ステップ6: ルールの名前を入力し、"More options... "をクリックします。

ステップ7: 「もし...ならこのルールを適用する」セクションで、「すべての添付ファイル...」を選択し、「ファイル拡張子にこれらの単語が含まれる」を選択します。

ステップ8: "+"アイコンを選択し、"OK "をクリックして、追跡/フィルタリングしたいファイル拡張子のタイプ(htmlなど)を入力します。

注意: 要件に応じて、他にも多くの実行可能ファイルタイプがあります：

メールフロールールトリガーに含めるべき推奨有害拡張子

1.実行可能ファイル: ade、adp、ani、bas、bat、chm、cmd、com、cpl、crt、hlp、ht、hta、inf、ins、isp、job、js、jse、lnk、mda、mdb、mde、mdz、msc、msi、msp、mst、pcd、reg、scr、sct、shs、url、vb、vbe、vbs、wsc、wsf、wsh、exe、pif。

2.マクロをサポートするOfficeファイル: doc, xls, docm, xlsm, pptm

ステップ9: "条件を追加 "をクリックします。"次のことをする... "セクションで、"メッセージで受信者に通知する... "を選択します。

ステップ10：メッセージ（参考用）を追加し、"OK "をクリックします。

ステップ11: 上記で定義したルールに例外を追加したい場合は、"Except if... "セクションを選択し、"add exception "をクリックしてください。例外が必要ない場合は、ステップ12-14をスキップしてください。

ステップ12: "送信者... "を選択し、"この人です "をクリックします。

ステップ13: 「送信者」を選択し、「追加->」をクリックします。

ステップ14: "OK "をクリックしてください。

ステップ15: "保存 "をクリックします。

ステップ16: 「ルール」が正常に作成されました。"ルール "の下の "ルールの作成 "セクションで確認できます。

Confense Phishing Defense Centre は最近、Office 365ユーザーを狙った新しいフィッシング詐欺を発見しました。この詐欺の目的は、昇給を期待している従業員のOffice 365アカウント認証情報を収集することでした。

サイバー犯罪者は、「差出人アドレス」を操作することで、受信者に人事部門からのメールであると信じ込ませ、悪意のあるメールを送信します。このメールには、"salary-increase-sheet-November2019.xls"と名付けられた、従業員の昇給に関する詳細なスプレッドシートであると主張するリンクが埋め込まれていました。このリンクは、ユーザーを偽の Microsoft 365 ログイン ページにリダイレクトします。スプレッドシートを表示するには、ユーザーは Office 365 アカウントにログインする必要があります。この偽のログイン ページには、ウェブサイトの正当性を高めるために電子メール ID が事前に入力されています。

Confense Phishing Defense Centerによると、「受信者に、SharePointでホストされているドキュメントにリンクされていると思わせるというものです。しかし、リンク先はhxxps://salary365[.]web[.]app/#/auth-pass-form/にホストされている外部のウェブサイトです。この悪意のあるURLの文脈から、このフィッシングの試みのために特別に選択され、ホストされていると考えることができます"

このようななりすまし攻撃を防ぐために、管理者はホストされているドメインにDKIM（DomainKeys Identified Mail）を設定する必要があります。DKIMは、組織がメッセージの責任を主張できるようにする電子メール検証の一形態です。DKIMはOutlookのセキュリティ機能で、電子メールメッセージのヘッダーにデジタル署名（秘密鍵）を追加することで機能します。この署名は、組織のドメインネームシステム（DNS）レコード内の公開暗号キーによって検証することができます。お客様のドメインからメッセージを受信するメールサーバーは、公開鍵を使用してメッセージヘッダを解読し、メッセージソースを検証します。

ステップ1: "Apps "セクションで、"Admin "をクリックします。

ステップ2："show all "をクリックします。

ステップ3："Admin centers "セクションで、"Exchange "をクリックします。

ステップ4："保護 "をクリックします。

ステップ5: 「DKIM」を選択し、DKIMを有効にするドメインを選択します。

ステップ6: "Enable "をクリックします。

ステップ7: 表示された「CNAME」レコードをレジストラサイトからドメインに追加し、なりすましからドメインを保護します。

Zscaler ThreatLabZ は、Microsoft Azureカスタムドメインを使用したフィッシング攻撃を検出しました。サイバー犯罪者は、Webサイトを合法的に見せるために、Microsoft SSL証明書を使用してフィッシングサイトをホストしていました。

どのように動作するのか攻撃者はスパムメールを送信し、ユーザーにメールの一部が隔離されたことを知らせます。メールを見るために、ユーザーは「メールを見る」ボタンをクリックするよう促され、攻撃者がマイクロソフトのSSL証明書を使用して作成した偽のOutlookログインページにリダイレクトされます。

DKIMを設定することで、このような攻撃を防ぐことができます。

Azureカスタムドメイン攻撃を阻止するDKIMの設定方法

こちらをクリックしてください。


Bleeping Computer は、Googleの検索クエリがエンコードされたURLを経由してユーザーを偽のMicrosoft Officeログインページにリダイレクトさせるフィッシングキャンペーンを報告しました。URLエンコーディング（パーセントエンコーディングとも呼ばれる）は、印刷不可能な文字や特殊な文字を、ウェブサーバーやブラウザが普遍的に受け入れられる形式に変換するメカニズムです。これにより、サイバー犯罪者は、悪意のある電子メールをブロックするセキュアな電子メールゲートウェイ（SEG）からフィッシングページのURLを隠すことができます。

どのように機能するのか Cofense Phishing Defense Centerの研究者は、フィッシングメールが有名なアメリカのブランドの侵害されたメールアカウントから送信され、支払い待ちの新しい請求書についてユーザーに知らせていることを発見しました。

請求書を見る」ボタンには、2つの部分からなるURLビルドが埋め込まれていました。URLの最初の部分は "https://google.lv/url?q="で始まり、ブラウザにGoogleを使って特定のURLを問い合わせるように通知しています。URLの2番目の部分は、基本的なURLエンコーディングでエンコードされていました。これは、ASCII文字を"%"の後に続く2桁の16進数で置き換えます。

このボタンをクリックすると、Googleのリダイレクト通知が表示され、解読されたフィッシング・ドメインに送信され、それ以上先に進みたくない場合は前のページに戻ることができることが通知されました。「これは、境界デバイスによる基本的なURLとドメインのチェックを欺くのに十分であり、脅威行為者が悪意のあるペイロードを確実に配信するためのシンプルかつ効果的な方法です」とCofenseは付け加えています。悪意のあるURLは、ユーザーを偽のMicrosoftログインページに誘導し、Office 365の認証情報を収集することを目的としています。

解決策:このような攻撃を防ぐために、ドメイン内のすべてのユーザーのOutlookセキュリティ設定で多要素認証(MFA)を有効にすることをお勧めします。MFAを有効にすると、ユーザーアカウントの認証情報が漏洩した場合でも、ユーザーアカウントに追加のセキュリティレイヤーを提供します。

ドメインにMFAを設定するにはどうすればよいですか？

ステップ2: "すべて表示 "をクリックします。

ステップ3: "設定 "セクションで、"アドイン "を選択します。

ステップ4: "Azure多要素認証 "をクリックします。

ステップ5: "多要素認証の管理 "をクリックします。

ステップ6: 「表示」オプションの隣にあるドロップダウンメニューをクリックします。

ステップ7: MFAを有効にするために必要なグループまたは個々のユーザーを選択します。

ステップ8: "Enable "をクリックします。

サイバー犯罪者は、ユーザーを騙してアカウント情報を漏えいさせるために、ありとあらゆる方法を使います。これにより、攻撃者は被害者の機密データにアクセスできるようになります。しかし、 このタイプのフィッシング攻撃では、サイバー犯罪者は従業員をターゲットにするのではなく、Microsoft 365 の管理者に焦点を当てていることが確認されています。管理者アカウントにアクセスすると、攻撃者は組織のドメインと他のすべてのユーザーアカウントを制御できるようになります。

この攻撃は、まずドメイン管理者に偽のOffice 365アラートを送信し、期限切れライセンスのような時間的制約のある問題や、不正アクセス警告のようなOutlookのセキュリティ問題に対処します。

これらのリンクをクリックすると、ユーザーは偽の Microsoft 365 ログイン ページにリダイレクトされます。このページはAzure上のwindows.netドメインでホストされており、Microsoftからの証明書を使用して保護されています。これらの要因により、受信したアラートの信頼性が増し、ユーザーにアカウント認証情報の入力が促されます。

"ご想像のとおり、管理者がこの詐欺に引っかかってページに認証情報を入力すると、攻撃者に盗まれてしまいます。そのアカウントで何らかの二要素認証が有効になっていない限り、攻撃者はOffice 365の管理者ポータルへのアクセスを得ることができるでしょう" - Bleeping Computer.

MFAを有効にする以外に、Microsoft 365は管理者にOutlookのセキュリティ設定で「拡張フィルタリング」オプションを設定するよう提案しています。拡張フィルタリングを使用すると、メッセージの実際の送信元に基づいて電子メールをフィルタリングできます。高度な保護については、Business Premium、E1、E3サブスクリプションを使用している企業は、ATP（Advanced Threat Protection）セーフリンクアドオンを選択することもできます。この Outlook セキュリティアドオンでは、悪意のあるリンクをスキャンし、ユーザーがアクセスできないように自動的にブロックします。

ドメインのフィルタリング設定を強化する方法は？

ステップ1: "Apps "セクションで、"Admin"を選択します。

システム管理者のための、行動に移せる分析方法やTIPS・ベストプラクティクスを掲載しております。

SaaSデータ保護ポータル

スパムメールは送信しません。いつでも簡単に登録解除が可能です。

SaaSデータとセキュリティに関するノウハウをお送りします。

フィッシング攻撃を阻止する5つのMicrosoft 365管理センターのOutlook設定

追跡を削除するには、ブラウザから Cookie を削除する必要があることを承知しています。

これらのクッキーは、ウェブサイトの機能強化やパーソナライズを可能にします。これらのクッキーは、当社または当社のページにサービスを追加している第三者プロバイダーによって設定される場合があります。これらのクッキーを許可しない場合、拡張機能とパーソナライゼーションは利用できません。

ブラウザから Cookie を削除して、追跡を完全に削除してください。方法については、ここをクリックしてください。

ソーシャルメディアに関するCookie

ソーシャルメディアに関するCookieは、当サイト上で提供されるさまざまな第三者のソーシャルメディアサービスによって設定されます。これらのサービスは当サイトに追加され、お客さまが当社のコンテンツを友人やネットワークと共有できるようにするために使用されます。また、これらのCookieによって他サイトを跨いでお客さまの興味が把握され、お客さまが訪れる他のウェブサイトで閲覧するコンテンツやメッセージに影響を与える可能性があります。これらのCookieを許可しない場合、ソーシャルメディアの共有ツールが利用または表示できなくなることがあります。

必須Cookieは当ウェブサイトが適切に機能する上で必要とされ、訪問者の数やトラフィックを分析することで、ウェブサイトのパフォーマンスを測定し、向上させる助けとなります。これらのCookieは、お客さまが行うプライバシー設定の変更やログイン、フォームへの入力など、リクエストに基づいて当社や第三者プロバイダーによって設定されることがあります。必須Cookieによって収集される情報はすべて集計され、匿名化されます。

このウェブサイトはCookieを使用しています。

当社は、コンテンツと広告をパーソナライズするため、ソーシャルメディア機能を提供するため、およびトラフィックを分析するためにCookieを使用しています。また、お客様が当サイトを利用される情報を、ソーシャルメディア、広告、アナリティクスパートナーと共有し、これによりパートナーがお客様から提供された他の情報や、パートナーのサービスの利用から収集された情報と組み合わせることがあります。

個人情報の取り扱いについては、プライバシーポリシーをご覧ください。

広告に関するCookieは当サイトを通じて広告パートナーによって設定され、お客さまにとって関連性の高い広告を配信するために使用されます。これらのCookieは、お客さまのブラウザとデバイスを一意に識別することに基づいています。Cookieを無効にすると、ターゲット広告が表示されなくなりますが、一般的な広告は引き続き表示される可能性があります。

Cookie（クッキー）の利用に同意しますか？

学校でのネットいじめを防ぐには：戦略、ヒント、ベストプラクティス

学校におけるメンタルヘルス-学校管理者のための究極のガイド

FERPAを遵守するためのガイダンス

ランサムウェア復旧ガイド（ランサムウェア攻撃からデータを復旧する方法）

インサイダーの脅威：クラウドアプリケーションのセキュリティガイド

G Suiteサードパーティアプリセキュリティの現状 - 2018年レポート

IT管理者が注意すべき14種類のフィッシング攻撃

詐欺師がブランド偽装攻撃の標的にする16のトップブランド

フィッシング攻撃を防ぐには？管理者のための17の簡単ハック

Google AppsにおけるSOX法コンプライアンス

Google Apps ドメインを設定する際の重大なセキュリティ上の間違いトップ3

Microsoft Teamsデータ復旧ウィザード

Gmailデータ復旧ウィザード

Google Classroomデータ復旧ウィザード

Googleサイトデータ復旧ウィザード

OneDriveデータ復旧ウィザード

SharePointデータ復旧ウィザード

Google Workspaceのバックアップが必要な12の理由

【完全ガイド】Googleドライブをバックアップする方法

Google Vaultとは？バックアップとの違いを解説

図解でわかるGmailのメールをバックアップする方法

管理者のためのOneDriveバックアップ完全ガイド

Microsoft 365データを今すぐバックアップすべき10の理由

Microsoft 365 SharePoint Onlineのバックアップ方法

Outlookのバックアップ方法完全ガイド（スクショ付き）

Outlookメールをバックアップする5つの方法

Googleドライブから完全に削除されたファイルを復旧する方法

図解でわかるGmailから削除されたメールを復旧する方法

【完全ガイド】削除されたGmailアカウントを復旧する方法

MboxファイルをGmailにインポートする方法（手順解説）

解決！混同しやすいGoogleドライブとチームドライブ（共有ドライブ）の違い

Google G Suite プライマリドメイン変更移行ガイド

COVID-19によるリモートワーク遠隔学習でサイバー攻撃が急増。今すぐOutlookのセキュリティ設定を行い、ITネットワークを保護しましょう！

An in-depth article on how admins can configure Outlook security settings to shield your IT network now.

フィッシング攻撃を阻止する5つのMicrosoft 365管理センターのOutlook設定

フィッシング攻撃を防ぐMicrosoft 365管理センターのOutlookセキュリティ設定

Exchange管理センターの設定

メールフロールール設定でボイスメールフィッシング攻撃を阻止

dkim設定を使用した昇給フィッシングスキャンの停止

DKIM設定を使用したMicrosoft Azureカスタムドメイン攻撃の阻止

サービスとアドインの設定

MFA設定を使ってGoogleリダイレクトフィッシング攻撃を阻止

管理センター - セキュリティとコンプライアンスの設定

COVid-19をテーマにしたフィッシング攻撃

Outlookセキュリティのベストプラクティス