多くの企業組織が、安全な通信アプリケーション、生産性ツールの強力なスイートとして、さらにはクラウドインフラストラクチャサービスとして、Office 365（最近、Microsoft 365に改名）を使用しています。Microsoftは極めて優れたセキュリティ機能を組み込んでいますが、大規模なサービスと、その膨大なユーザ数によって、攻撃者にとって魅惑的な標的を生み出しています。この記事では、Microsoft 365を使用している場合に組織が直面する可能性があるリスク、攻撃者がどの内蔵セキュリティツールにアクセスするか、組織を包括的に防御するためにどの補完ツールを使用できるかについて詳しく見ていきます。

Microsoft Office 365が標的となる理由

Microsoft Officeは広く使用されています。最近のPTGの記事では、企業従業員のうち約5人に1人がOffice 365クラウドサービスを使用しており、ユーザ数では、Office 365が最も広く使用されているクラウドサービスであると報告されています。市場シェアはGoogle Appsに次いで2位で（この記事の執筆時点で、Statistaによると42%対53%）、最近のGartnerレポートでは、クラウドドキュメント内の機微に触れるデータの58.4%がOfficeドキュメントに保存されていると述べられています。

特に企業側での、このような普及レベルはMicrosoftにとっては好ましいことですが、その一方で、大手テクノロジー企業の頭上には標的の印が描かれることになります。サイバー犯罪者と民族/国家攻撃者は、Microsoftのアプリケーションを標的にして、エクスプロイト開発とMicrosoftソフトウェアの脆弱性のスキャンに重点を置くことができます。その領域で成功すれば、これらのエクスプロイトを大規模なユーザ層に導入できることがわかっているからです。

攻撃者は、インターネットユーザの大部分がMicrosoft 365を使用していることを認識しており、フィッシングおよびスパム活動を開発し、その情報を利用したり、完全にそのユーザになりすましたりします。

Microsoft 365ユーザと顧客が直面するリスク

Trustwaveは、Microsoft 365ユーザがどのように特定の脅威と攻撃の標的にされてきたかに関する詳細な調査を文書化しています。2020グローバルセキュリティレポートでは、2019年に検知された電子メール送信のマルウェアの46%以上で.docおよび.docxファイルタイプが使用されていたことが明らかになりました。また、当社は、Microsoft 365ドキュメントが広く使用され、信頼されていることを利用して、攻撃者が不正なコード、リンク、または添付ファイルをどのように電子メールに潜ませることができるかについても文書化しています。さらに、TrustwaveのSpiderLabsは、ユーザが、実際にはランサムウェアである偽のWindows Updatesのダウンロードを促すフィッシング電子メールを受信していたことも明らかにしました。

電子メール活動には複数のインスタンスがあり、どれもスパム送信者がMicrosoftになりすまし、被害者のログイン情報を窃取するためにMicrosoftログインページとして設計された偽造サイトへのリンクが含まれます。前述のGartnerの分析によると、平均して、「1つの組織あたりOffice 365内で毎月2.7件の脅威を経験」しています。

明らかに企業にもたらされるリスクは甚大です。Microsoftのソフトウェアを標的とする脅威と新たな攻撃手法は進化し続けています。幸運にも、セキュリティに関しては、検討に値するオプションがあります。

Microsoft Officeのセキュリティ機能

エンタープライズ向けBusiness Premiumユーザであるなら、Microsoft Officeは強固な保護を提供しています。標準メンバーは、Windows Defender、スパムフィルタ、多要素認証（MFA）、ランサムウェア保護などの予防策を利用できますが、Premiumユーザはメッセージング暗号化、Advanced Threat Protection（ATP）、データ漏洩対策（DLP）ポリシー、およびデータをアーカイブし訴訟リスクを軽減するための堅牢な方法を提供するExchange Online Archiving（EOA）も活用できます。

このツールとソフトウェアの一式は、バランスの取れた防御と検知を実現しますが、これらのサイバーセキュリティ対策が組織固有の環境で効果的に機能できるように適切に設定されていることを確認する必要があります。

まだ確認していない場合は、組織に応じてこれらのツールと機能をセットアップする方法を詳しく説明した、Microsoft提供の包括的なページもあります。

既存のMicrosoft 365保護を補完する

Microsoft Officeの一連のセキュリティツールは有用ではありますが、特に、エンタープライズ向けBusiness Premiumユーザでない場合は、残念ながら、何らかのセキュリティギャップが存在する可能性があります。一連のセキュリティ製品を完備している場合でも、攻撃者がいかに迅速に動くかを考慮すると、必要な保護が欠落している可能性があります。最近の調査から、検知されたフィッシング攻撃の25%がOffice 365に内蔵されたデフォルトのセキュリティ対策をバイパスしていることが明らかになりました。

防御をさらに強化するために、電子メールセキュリティ、ユーザ権限管理、データベースセキュリティを重視することをお勧めします。

悪意のあるハッカーは、主に、従来の検知ソフトウェアをバイパスするために設計されたフィッシングと標的型電子メール攻撃を用いて、標的の後を追い掛けます。ハッカーがリンクや不正なコードを電子メールや添付ファイルに奥深く隠すためにあらゆる手を尽くしたとしても、適切で包括的な電子メールセキュリティに投資することで、悪意のある電子メールをフラグ付けすることができます。これにより、攻撃を確実に検知でき、適切に対応する機会がもたらされます。

ユーザ権限管理は、サイバー犯罪者がログイン情報を窃取する試みに成功した場合に、非常に重要となります。サイバー犯罪者がネットワークに侵入可能でも、ネットワーク内での特定の従業員のアクセス権を制限するパラメータを設けておけば、犯罪者が極めて機微に触れるデータにアクセスし、損害を引き起こす可能性は限定されます。

データベースセキュリティも、Microsoft 365の脆弱性を利用して侵害が発生したかどうかを確認するために不可欠です。これにより、最も重要な資産を保護できます。以前の記事で取り上げたとおり、適切な種類のデータベース保護によって、ユーザとアプリケーション、それらがアクセス権を持つデータオブジェクトとの関係が可視化されるため、ビジネス所有者と協力してアクセスを削減できます。プロセスの進行中でも、データベースモニタリングによって、侵害された従業員のアカウントから生じる可能性のある異常な挙動や奇異な挙動をフラグ付けできます。

Microsoft 365は、企業にとって非常に重要なツールです。組織を保護するために、必ずソフトウェアを常に更新し、Microsoftが提供する入手可能なセキュリティツールを最大限活用してください。さらに、検知または対応、もしくは双方に潜在するギャップを埋めるために、追加のソリューションを活用することを検討してください。

TrustwaveがMicrosoft 365セキュリティを補完するためにどのように役立つかの詳細については、当社のマネージドディテクト＆レスポンスサイトをご確認ください。