このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

カテゴリから探す ビジネス課題から探す キーワードから探す 特集・テーマから探す 導入事例から探す 中小規模のお客さま 個人のお客さま
サービストップ
サービストップ
サービストップ
特集・テーマトップ
導入事例トップ
最新の導入事例

指定した検索条件の事例は、見つかりませんでした

導入事例を検索
閉じる
イベント・セミナートップ
開催間近のイベント・セミナー
アーカイブ配信をみる
閉じる
事業紹介トップ
企業・IR 採用情報
閉じる
閉じる
Select Language
日本語
English
Find Your Region
閉じる
Select Language
日本語
English
Find Your Region
記事を検索
ビジネスIT用語 資料一覧 導入事例 ビジネスメールマガジン
ビジネス
メールマガジン
サイバー攻撃をMicrosoft 365 E5 Securityで防御してみた
ゼロトラストブログ vol. 08

サイバー攻撃をMicrosoft 365 E5 Securityで防御してみた

2024 3/25
ランサムウェアの感染や情報漏えいのセキュリティ事故が連日ニュースで報道され、年々多様化・巧妙化するサイバー攻撃に、企業はどのように対策すべきかが注目されています。実際にお客さまからセキュリティ対策についてご相談をいただく機会が増えており、中にはセキュリティ製品の脅威ブロックの仕組みをご存知でないお客さまもいらっしゃいます。そこで、今回の記事では、Microsoft 365 E5 Securityが、メールやアプリケーション、SaaSなどを対象にどのようにサイバー攻撃をブロックするのか、ゼロトラスト推進部の鞍川が検証を通して紹介いたします。

目次

Microsoft 365 E5 Securityとは

検証条件~攻撃のシナリオ~

検証

最後に

Microsoft 365 E5 Securityとは

今回検証使用したMicrosoft 365 E5 Securityとは、Microsoft 365で提供されているセキュリティ機能群最上位プランのことです (2024年2月時点)。このMicrosoft 365 E5 Security には Microsoft Defender for Office 365 (メールドキュメントリンク脅威対策)、Microsoft Defender for Endpoint (エンドポイント保護)、Microsoft Entra ID P2 (IDに対するリスク検出保護およびアクセス管理)、Microsoft Defender for Cloud Apps (クラウドアプリ監視制御)、Microsoft Defender for Identity (アカウント侵害攻撃検出) という 5つのサービスが含まれ、さまざまなセキュリティリスク対応することができます。

それでは、次の項で検証条件説明します。

検証条件~攻撃のシナリオ~

今回検証において、対象OSはWindows 10とし、攻撃シナリオは、多種多様攻撃手法がある中、侵害起点となりやすいフィッシングメールを含む「標的型攻撃」と、世の中に広く脅威が知られている「マルウェア/ランサムウェア感染」に絞ります。なお、各攻撃手法については以下のとおりです。

標的型攻撃

特定の組織や個人を狙い、ウィルスが添付されたファイルの開封や危険なサイトへのアクセスを促すメールを送付する。ターゲットのユーザー情報を窃取し、不正アクセスや情報漏えいなどにつながる。

マルウェア/ランサムウェア感染

不審なメールの添付ファイルや危険なサイトにアクセスすることにより感染し、個人情報の流出やデータの暗号化が行われる。場合によってはデータを復元するために身代金を要求される可能性もある。

以上を踏まえて、検証に入ります。

検証

標的型攻撃の検証

標的型攻撃に対しては、「Microsoft Defender for Office 365」が有効です。これにはメールセキュリティ機能が含まれ、悪意のある添付ファイルリンクを含むメールに対して検査を行い、添付ファイルリンク安全かどうかをチェックします。基本的スプーフィング(なりすまし)対策から、より高度分析調査自動化などを実施する機能を有しています。また、メールだけでなくTeamsやOneDrive for Business、SharePoint Online上の悪意のあるファイル自動検疫機能もあり、悪意のあるファイルに対してダウンロードなどのアクションブロックすることや、ユーザー画面警告表示させることも可能です。
なお、検証時画像イメージであり、製品アップデートにより表示される画面が異なる場合もありますのでご了承ください。

それでは実際挙動確認してみます。

1. 送信フェーズ

悪質ウェブサイト誘導するリンク本文中挿入メール送信します。

  • ※ 画像はイメージです。

2. 受信フェーズ

受信者側リンク確認します。Microsoft Defender for Office 365は、受信したメールスキャンし、悪意のあるリンク検出します。そして検出されたリンクは、メモ帳に転記したようにMicrosoft標準URLプレフィックスに置き換えられます。

  • ※ 画像はイメージです。

3. 結果

実際リンククリック確認します。リンク悪質ウェブサイト誘導している場合警告ページ表示され、危険ウェブサイトへのアクセスを防いでくれます。

  • ※ 画像はイメージです。

マルウェア/ランサムウェア感染の検証

マルウェア/ランサムウェア感染に対しては、「Microsoft Defender for Endpoint」が有効です。これはEDR (エンドポイントでの脅威検出対応) の機能を有しており、ユーザー使用するデバイス予防的保護マルウェアの振る舞いを検知します。仮に端末ウィルス感染したとしても、脅威行動自動調査修復可能です。また、今回検証ではMicrosoftが提供している、挙動確認用安全ファイル使用します。

以下実際挙動です。

1. ファイルの開封

マルウェアが組み込まれたファイルをWordファイルとします。Wordファイルにはマルウェアを模したマクロが組み込まれているので、マクロ実行を行います。

  • ※ 画像はイメージです。

2. マルウェアの実行

マルウェア実行成功した場合コマンドプロンプト起動され、端末不正アクセスするためのツールデスクトップ上に生成されます。

  • ※ 画像はイメージです。
  • ※ 実際マルウェア挙動ユーザーが気づくことがないようバックグランド実行され、不正アクセスするためのツールは分かりづらいフォルダなどに生成されます。

3. Microsoft Defender for Endpointの有効化

Microsoft Defender for Endpointが有効化され、マルウェア実行防止した場合は、画面右下操作ブロックされたことを示す通知即時表示されます。

  • ※ 画像はイメージです。

通知クリックすることでブロックしたアクティビティ情報確認することができます。

  • ※ 画像はイメージです。

また管理者ポータルでは、侵害前から侵害後調査および対応詳細かつ迅速実施することができます。さらにマルウェア感染に関するイベント影響範囲関係ノードとして表示され、概要素早確認することも可能です。

  • ※ 画像はイメージです。

最後に

今回標的型攻撃マルウェア/ランサムウェア感染実際防御してみました。脅威即時ブロックできること、また管理者ポータル一元的脅威調査実施できることが分かったかと思います。Microsoft 365 E5 Securityを導入することで脅威からユーザー保護するだけでなく、セキュリティ担当者運用負荷軽減にも貢献することが可能です。
弊社は、これまでの導入実績評価され、2021年11月にマイクロソフト社から「ライセンシング ソリューション パートナー (Licensing Solution Partner :LSP)」として認定されており、コンサルティングから構築運用まで一気通貫したご提案ができます。セキュリティ対策について些細なことでもお悩みがある方は、ぜひお気軽にご相談ください。

  • ※ 外部リンクに遷移します。
プロフィール画像

執筆者プロフィール

鞍川 凌也 (くらかわ りょうや)
約2年間、SIerのSOC (セキュリティオペレーションセンター) に所属し、主にインシデントレスポンスをセキュリティアナリストとして担当。SOCの立ち上げからネットワーク監視、脅威分析、マルウェア解析などを経験し、2023年7月にKDDIへ入社。現在はMicrosoft 365 Securityを中心としたゼロトラストの提案構築業務を担当。

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

導入検討・見積相談 KDDI 法人営業担当者よりご連絡させていただきます。

最新ゼロトラストブログ

ゼロトラストブログ vol. 18
2024/10/31

EDRを入れて満足していませんか?運用の落とし穴について解説します
ゼロトラストブログ vol. 17
2024/9/30

経営層を説得し、ゼロトラスト予算を確保するには?
ゼロトラストブログ vol. 16
2024/9/18

MicrosoftのSecurityソリューションパートナー認定を獲得しました!
ゼロトラストブログ vol. 15
2024/8/20

社内研修「ゼロトラストアカデミー」の 取り組みについて
[実践編]
ゼロトラストブログ一覧はこちら

ホワイトペーパー

ゼロトラスト導入による
海外拠点のセキュリティ対策のポイント

脆弱な海外拠点のセキュリティ強化に有効的なゼロトラストアプローチ。海外拠点でゼロトラストを導入する必要性、導入効果と導入のポイントについて、失敗事例を紹介しながら解説していきます。

「ゼロトラスト」導入のステップ

今、注目を集めている「ゼロトラスト」セキュリティとは何か。LACを創業したS&J株式会社の三輪信雄代表取締役社長に、境界防御型の限界に対処できるセキュリティモデルのゼロトラスト導入手順について伺いました。

ユーザー調査から見えてきた、
ゼロトラストの現在地

ポストコロナの働き方と、それを支える情報システムやサイバーセキュリティの在り方をどう考えるべきか。KDDI は、テレワークの拡大に伴い注目を集めたセキュアなシステム設計の新しい考え方「ゼロトラスト」にフォーカスし、企業の取り組み状況や課題を探るべくアンケート調査を実施しました。その結果を分析するとともに、次世代の働き方を支える IT環境について KDDI の提案を紹介します。

いま取り組むべき
ゼロトラストセキュリティ

リモートワークやハイブリッドワークが定着するなか、社内・社外という切り分けはもはや意味を成さず、どこにも安全な場所はないという考え方=ゼロトラストがセキュリティ対策の前提となっています。そんなゼロトラストセキュリティをどのように実装し運用していくか、KDDI が提唱する3 つの運用ポイントを紹介します。

最新のイベント・セミナー情報

進化する脅威への備え方:セキュリティ対策の最前線
2024年11月7日(木) , 12月3日(火) 15:00~16:00

ランサムウェアをはじめとするセキュリティ攻撃は進化し続け、その被害も拡大しています。「私たちの対応は十分だろうか?」と不安を抱える企業様に向け、基本的な防御方法から運用のポイントまでを包括的にお伝えします。さらに、最新の事例を通じて成功への具体的なステップを専門家が詳しく解説します。
  • オンライン開催
  • 申込受付中
次期ITインフラを見据えたゼロトラストセキュリティの実現とその後の運用方法
  • 2023年12月22日 開催分 オンデマンド配信中
「セキュリティサービスを入れたけど、これで十分?」「中長期的な目線でのネットワークを含めたセキュリティ環境を最適化したい」ハイブリッドワークへの移行で伴うネットワーク・セキュリティの新たな課題に対して、どのように中長期的な目線で策定していくべきか、またそれを実現・維持していく方法についてお伝えします。
ゼロトラストの要は認証~多要素認証がなぜ必要か?~
  • 2023年6月7日 開催分 オンデマンド配信中
近年のクラウド利用の加速や、ランサムウェアやサプライチェーン攻撃の進化・高度化により、ゼロトラストセキュリティモデルへのシフトが求められていますが、その中枢を担うのが認証基盤です。「パスワードさえあれば安心」「会社貸与のPCだから信用できるデバイス」ではなくなってきているからこそ、より多層的な認証を行う必要があります。本セミナーでは、セキュリティと利便性の向上の鍵となる多要素認証と、ネットワーク・セキュリティの全体最適化を見据えたゼロトラスト環境の導入についてお伝えします。
押さえておきたい最新セキュリティ脅威と対策
  • 2023年2月17日 開催分 オンデマンド配信中
IPAの10大脅威でランサムウェアが上位にランキングされ、組織規模や業種を問わずに被害が拡大を続けています。
本セミナーでは、株式会社ラックさまより最新のセキュリティ脅威とその対応策を、 KDDIよりIT・OTセキュリティにおける運用の重要性についてご紹介します。

ピックアップ

WAKONXについて
つなぐチカラ『ビジネス5G』
マネージド ゼロトラスト
空間自在プロジェクト
KDDI research atelier
KDDI Engineer Portal
Business Port パートサービス一覧
障害・メンテナンス情報 (個人のお客さま)
よくあるご質問サイト
お客さまとともに歩む、KDDIの改善活動
ビジネスメールマガジン
ページの先頭へ戻る