こんにちは。サイオステクノロジー技術部 木村です。de:code2019のセッションレポートをお届けします。
今回は以下のセッションになります。
本セッションは、セキュリティの基本的な攻撃の手法は理解しているが、Office365アタックシミュレーターのことはまだあまりよく知らないという方向けのセッションのようです。
ライセンス
Office365アタックシミュレーターは以下のライセンスで使えます。
- Office 365 Threat Intelligence
- Office 365 ATP Plan2
- Office 365 E5
- Microsoft 365 E5 Security
- Microsoft 365 E5
Office365アタックシミュレーターは、上記ライセンスの中にある「Office 365 Advanced Threat Protection Plan2」の中の機能です。
自身の環境でライセンスを確認したところありました。
上記のライセンスを持っていない方には、1回のみ30日間使用できるトライアル版もあるそうです。
アタックシミュレーターとは
Office365のテナントでセキュリティ攻撃をシミュレーションできる機能で、以下の3つの攻撃をシミュレーションできます。
- スピアフィッシング攻撃
- ブルートフォースパスワード攻撃
- パスワードスプレー攻撃
日常の運用の準備段階で使用するもので、「やられないようにする」「攻撃されたときの対処を確認する」という目的で使用されるもの。
避難訓練ということですね。
スピアフィッシング機能
標的型攻撃は、特定の組織内の情報を狙って行われるサイバー攻撃の一種であり、対象の組織や個人に特有の情報を積極的に利用し、コンピュータウイルスが添付された電子メールを送るなどの手法がよく用いられます。
標的型攻撃は、IPAの2019年度の組織の10大脅威で1位になっています。
スピアフィッシング機能は標的型攻撃の対策のためのもので、標的型攻撃訓練メールを送ることができる機能です。
訓練対象となったユーザーに、標的型攻撃を模したメール(メールの内容はカスタマイズ可能)を実際に送ります。
メールには、なりすましサイト(Office365のサインイン画面に似せたものなど)のリンクもついています。
受け取ったメールを見てユーザーが、なりすましサイトのリンクをクリックするか(第1段階)、さらになりすましサイトでログイン情報を入力するか(第2段階)の2段階を監視します。
ただし、最終的な目的は脆弱なユーザーをあぶり出すことではなく、組織として被害を最低限に抑えるにはどうすれば良いかを確認することにあります。
ブルートフォース・パスワードスプレー機能
パスワードは定期的に変更するのではなく、より推測されないパスワードの使用や多要素認証を使うことが近年のパスワード管理の傾向となっています。
ブルートフォース・パスワードスプレー機能は、ブルートフォースパスワード攻撃とパスワードスプレー攻撃の2種類の攻撃に対応しており、推測されないパスワードをユーザーが使っているかチェックする機能です。
デモ
スピアフィッシング機能、ブルートフォース・パスワードスプレー機能のそれぞれについて、設定と確認手順のデモを見せていただきました。
こちら公開資料に補足資料として設定・確認手順が全て載っておりましたので、そちらを見ていただければデモで行なった内容が一通り実行できるかと思います。
最後に
Office365アタックシミュレーターを使用する目的は、個々のユーザーの対応を見るのではなく、組織としてどう行動できるかを確認するものと強調されていたのが印象に残りました。100%安全を実現することは不可能であり、攻撃されたことを見越してそれに対応できるように日頃から訓練をしておくのが大事なのですね。
備えあれば憂いなし。日頃から備えておきたいですね。
