このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

閉じる
閉じる
閉じる
サイバー攻撃をMicrosoft 365 E5 Securityで防御してみた
ゼロトラストブログ vol. 08

サイバー攻撃をMicrosoft 365 E5 Securityで防御してみた

2024 3/25
ランサムウェアの感染や情報漏えいのセキュリティ事故が連日ニュースで報道され、年々多様化・巧妙化するサイバー攻撃に、企業はどのように対策すべきかが注目されています。実際にお客さまからセキュリティ対策についてご相談をいただく機会が増えており、中にはセキュリティ製品の脅威ブロックの仕組みをご存知でないお客さまもいらっしゃいます。そこで、今回の記事では、Microsoft 365 E5 Securityが、メールやアプリケーション、SaaSなどを対象にどのようにサイバー攻撃をブロックするのか、ゼロトラスト推進部の鞍川が検証を通して紹介いたします。

Microsoft 365 E5 Securityとは

今回検証使用したMicrosoft 365 E5 Securityとは、Microsoft 365で提供されているセキュリティ機能群最上位プランのことです (2024年2月時点)。このMicrosoft 365 E5 Security には Microsoft Defender for Office 365 (メールドキュメントリンク脅威対策)、Microsoft Defender for Endpoint (エンドポイント保護)、Microsoft Entra ID P2 (IDに対するリスク検出保護およびアクセス管理)、Microsoft Defender for Cloud Apps (クラウドアプリ監視制御)、Microsoft Defender for Identity (アカウント侵害攻撃検出) という 5つのサービスが含まれ、さまざまなセキュリティリスク対応することができます。

それでは、次の項で検証条件説明します。

検証条件~攻撃のシナリオ~

今回検証において、対象OSはWindows 10とし、攻撃シナリオは、多種多様攻撃手法がある中、侵害起点となりやすいフィッシングメールを含む「標的型攻撃」と、世の中に広く脅威が知られている「マルウェア/ランサムウェア感染」に絞ります。なお、各攻撃手法については以下のとおりです。

以上を踏まえて、検証に入ります。

検証

標的型攻撃の検証

標的型攻撃に対しては、「Microsoft Defender for Office 365」が有効です。これにはメールセキュリティ機能が含まれ、悪意のある添付ファイルリンクを含むメールに対して検査を行い、添付ファイルリンク安全かどうかをチェックします。基本的スプーフィング(なりすまし)対策から、より高度分析調査自動化などを実施する機能を有しています。また、メールだけでなくTeamsやOneDrive for Business、SharePoint Online上の悪意のあるファイル自動検疫機能もあり、悪意のあるファイルに対してダウンロードなどのアクションブロックすることや、ユーザー画面警告表示させることも可能です。
なお、検証時画像イメージであり、製品アップデートにより表示される画面が異なる場合もありますのでご了承ください。

それでは実際挙動確認してみます。

1. 送信フェーズ

悪質ウェブサイト誘導するリンク本文中挿入メール送信します。

  • ※ 画像はイメージです。

2. 受信フェーズ

受信者側リンク確認します。Microsoft Defender for Office 365は、受信したメールスキャンし、悪意のあるリンク検出します。そして検出されたリンクは、メモ帳に転記したようにMicrosoft標準URLプレフィックスに置き換えられます。

  • ※ 画像はイメージです。

3. 結果

実際リンククリック確認します。リンク悪質ウェブサイト誘導している場合警告ページ表示され、危険ウェブサイトへのアクセスを防いでくれます。

  • ※ 画像はイメージです。

マルウェア/ランサムウェア感染の検証

マルウェア/ランサムウェア感染に対しては、「Microsoft Defender for Endpoint」が有効です。これはEDR (エンドポイントでの脅威検出対応) の機能を有しており、ユーザー使用するデバイス予防的保護マルウェアの振る舞いを検知します。仮に端末ウィルス感染したとしても、脅威行動自動調査修復可能です。また、今回検証ではMicrosoftが提供している、挙動確認用安全ファイル使用します。

以下実際挙動です。

1. ファイルの開封

マルウェアが組み込まれたファイルをWordファイルとします。Wordファイルにはマルウェアを模したマクロが組み込まれているので、マクロ実行を行います。

  • ※ 画像はイメージです。

2. マルウェアの実行

マルウェア実行成功した場合コマンドプロンプト起動され、端末不正アクセスするためのツールデスクトップ上に生成されます。

  • ※ 画像はイメージです。
  • ※ 実際マルウェア挙動ユーザーが気づくことがないようバックグランド実行され、不正アクセスするためのツールは分かりづらいフォルダなどに生成されます。

3. Microsoft Defender for Endpointの有効化

Microsoft Defender for Endpointが有効化され、マルウェア実行防止した場合は、画面右下操作ブロックされたことを示す通知即時表示されます。

  • ※ 画像はイメージです。

通知クリックすることでブロックしたアクティビティ情報確認することができます。

  • ※ 画像はイメージです。

また管理者ポータルでは、侵害前から侵害後調査および対応詳細かつ迅速実施することができます。さらにマルウェア感染に関するイベント影響範囲関係ノードとして表示され、概要素早確認することも可能です。

  • ※ 画像はイメージです。

最後に

今回標的型攻撃マルウェア/ランサムウェア感染実際防御してみました。脅威即時ブロックできること、また管理者ポータル一元的脅威調査実施できることが分かったかと思います。Microsoft 365 E5 Securityを導入することで脅威からユーザー保護するだけでなく、セキュリティ担当者運用負荷軽減にも貢献することが可能です。
弊社は、これまでの導入実績評価され、2021年11月にマイクロソフト社から「ライセンシング ソリューション パートナー (Licensing Solution Partner :LSP)」として認定されており、コンサルティングから構築運用まで一気通貫したご提案ができます。セキュリティ対策について些細なことでもお悩みがある方は、ぜひお気軽にご相談ください。

  • ※ 外部リンクに遷移します。
プロフィール画像

執筆者プロフィール

鞍川 凌也 (くらかわ りょうや)
約2年間、SIerのSOC (セキュリティオペレーションセンター) に所属し、主にインシデントレスポンスをセキュリティアナリストとして担当。SOCの立ち上げからネットワーク監視、脅威分析、マルウェア解析などを経験し、2023年7月にKDDIへ入社。現在はMicrosoft 365 Securityを中心としたゼロトラストの提案構築業務を担当。

本サービスへのお問い合わせ

KDDI 法人営業担当者が、導入へのご相談やお見積もりをいたします。
何かご不明な点があればお気軽にお問い合わせください。

ホワイトペーパー

最新のイベント・セミナー情報



ピックアップ