Post on 08-Jul-2020
de:code 2019 SE06
使える?!
Office365アタックシミュレーター
日本マイクロソフト株式会社
セキュリティ技術営業部 テクノロジー ソリューション プロフェッショナル
荒木 さつき
自己紹介# 所属・名前
• 日本マイクロソフト
• セキュリティ技術営業部/ テクニカルソリューションプロフェッショナル
• 荒木 さつき
# 現在のお仕事
• Enterprise向けにMicrosoft 365 セキュリティプリセールスエンジニア
サイバーセキュリティ担当
• 外部向けセミナーにも時々登壇
# 資格
• CISSP、Microsoft 365 Certified Security Administrator
Associate、CCIE Emeritus 、LPIC-3 Security、PCNSE
本日の目的
Office365 アタックシミュレーターは何のためにあるの?
Office365 アタックシミュレーターが何ができるの?
Exchange Online
Protection
• スパムフィルターを用いたなりすましメールの検知
• コンテンツフィルターを用いたなりすましメールの検知
Office 365 Advanced
Threat Protection
Plan2
• Office 365内で検知した脅威を可視化
• 検知した脅威に対する封じ込め対策を実施
Exchange Online
Protection
• 送信元IPに基づいたフィルタリングの実施
Office 365 Advanced
Threat Protection
Plan1
• サンドボックスを用いてシグネチャに登録されていないゼロデイマルウェアを検知
Exchange Online
Protection
• シグネチャに基づいたマルウェア検知を実施
なりすましメールからの保護
マルウェアの検知
不正な通信の確認
Office
E1
Office
E5
Office 365 Advanced
Threat Protection
Plan2
• 推測しやすいパスワードを利用するIDの検知
• 標的型攻撃訓練の実施
Office 365 Advanced
Threat Protection
Plan1
• メール本文や添付ファイルのURLリンクを書き換えてユーザーがアクセスした際、その正当性を確認
Office 365 Advanced
Threat Protection
Plan1
• 組織内部のメールを学習し通常とは異なるメールをなりすましメールとして検知
メールセキュリティの管理
プロアクティブセキュリティ
Exchange Online
Protection
• メールフロールール(トランスポートルール)を用いて送受信メールに対し適切なアクションを実施
ここ!
トライアルもありますよ!→
準備やられないようにする
やられたときの対処を確認する防御力向上
検知・分析やられている事を
すぐに検知する検知分析
根絶・復旧・
封じ込め
やられても被害を
小さくする被害軽減
事件発生後の
対応
やられた後でも、
情報を保護する事後対応
NIST SP 800-61
-6-
Microsoft
セキュリティ体制
ここで使います!
SE05 もうセキュリティはやりたくない!第3弾
17:40~ RoomDにて開催!
利用できるシミュレーションは3つ!
https://www.ipa.go.jp/security/vuln/10threats2019.html
コインチェック社で580億円のネム(NEM)ハッキング被害。
顧客資産は凍結状態に 2018/01https://cc.minkabu.jp/column/297
産総研で重大なセキュリティインシデント、
ネット遮断で調査中 2018/2 https://japan.zdnet.com/article/35114695/
JAL 3.8億円詐欺被害
ビジネスメールに割り込み偽請求 2018/01 http://www.yomiuri.co.jp/science/goshinjyutsu/20180109-OYT8T50178.html
5月の大規模サイバー攻撃は北朝鮮「関与」ハッカー集団「ラザルス」が攻撃か 2017/12 http://www.sankei.com/world/news/171220/wor1712200005-n1.html
関連する実被害・ニュース
7億超のメアドと2000万超のパスワードがオンラインに流出 2019/1https://news.goo.ne.jp/article/mycom/business/mycom_1866361.html
「宅ふぁいる便」不正アクセスで480万件の
個人情報漏えいが発覚 2019/1http://nlab.itmedia.co.jp/nl/articles/1901/26/news032.html
パスワード16億件の流出を確認
ソニー、トヨタ自動車など日本企業の被害多数 2018/9https://nkbp.jp/2NmBv0E
順位 「組織」の 10 大脅威
1 標的型攻撃による被害
2 ビジネス メール詐欺による被害
3 ランサム ウェアによる被害
4サプライチェーンの弱点を悪用した
攻撃の高まり
5 内部不正による情報漏えい
6 サービス妨害攻撃によるサービスの停止
7インターネット サービスからの
個人情報の窃取
8 IoT 機器の脆弱性の顕在化
9 脆弱性対策情報の公開に伴う悪用増加
10 不注意による情報漏えい
アップル元従業員、自動運転車の機密情報を盗んだ罪でFBIに摘発。転職先への土産代わり?2018/10https://japanese.engadget.com/2018/07/11/fbi/
無差別に行われる攻撃とは異なり、対象の組織や個人に特有の情報を
積極的に利用することが多い。例えば、ウイルスメールの件名や本文、偽
装された送信元、添付ファイル名などに、対象と関わりのある実在の組
織や人物、事業などの名称を記し、対象者の油断を誘って感染させると
いった手法がよく用いられる。
こんなメールが届きます
なりすましサイトもついています
組織としてどのように行動できるか
チャットベースのワークスペースTeams
メール & カレンダーExchange, Outlook
通話、ビデオ & 会議Skype for Business
マルチ OS 対応 OfficeOffice ProPlus
情報共有、クラウドストレージSharePoint
ソーシャルネットワークYammer
コンプライアンスData Loss Prevention (DLP)
Microsoft 365
Enterprise
E3
Office 365 Enterprise Enterprise Mobility + Security Windows 10 EnterpriseID & アクセス管理Azure Active Directory Premium P1
Windows Server CAL
デバイス管理Microsoft Intune
System Center Configuration Manager
情報保護Azure Information Protection Premium P1
AD への ID ベース攻撃検知 (サーバー設置型)
Microsoft Advanced Threat Analytics
エンドポイントセキュリティMicrosoft Defender System Guard
Microsoft Defender Application Guard
Microsoft Defender Exploit Guard
Microsoft Defender Application Control
先進的な PC 管理、展開Azure AD Join & AutoPilot
Microsoft 365
Enterprise
E5
Office 365 Enterprise Enterprise Mobility + Security Windows 10 Enterprise
ID 保護 & 特権管理Azure Active Directory Premium P2
機密情報の可視化と自動的な情報保護Azure Information Protection Premium P2
AD への ID ベース攻撃検知 (SaaS 型)
Azure Advanced Threat Protection
CASB (Cloud Access Security Broker)Microsoft Cloud App Security
E 5 E 5 E 5
E 3 E 3 E 3
EDRMicrosoft Defender Advanced Threat Protection
エンドポイントセキュリティMicrosoft Defender Exploit Guard
(Attack Surface Reduction)
音声通話PSTN Conferencing, Cloud PBX
アナリティクスPower BI Pro, My Analytics
セキュリティ & コンプライアンスOffice 365 Advanced Threat Protection
Threat Intelligence
Advanced Compliance & more
メールを管理者に報告するまでが訓練です!
パスワードの定期的な変更を基本的なセキュリティポリシーから削除
パスワードとして望ましくない単語・文字・数字のリストの適用・多要素認証を推奨
リストに記載されているパスワードをIDに対して試行することで脆弱なアカウントを検知
password 指定したパスワードをすべてのIDに対して試行することで脆弱なアカウントを検知
クラウドIDパスワードハッシュ同期+シームレスSSO
パススルー認証+シームレスSSO
パススルー認証の場合
まとめ
標的型攻撃シミュレーターは個人をあぶりだすための
ツールではなく、組織のセキュリティ体制を点検するツール• 避難訓練と同じ。組織としてどのように動くのかということを確認
強いパスワードのアップデート• 定期的なパスワード変更よりも推測することが困難なパスワードであることを
確認
• 推測しにくいパスワードを各個人が意識して設定することが大事
伝えたかったこと
補足資料
現在登録されているテンプレートは二種類
対象となるユーザーを指定
対象となるユーザーまたはグループを指定
対象となるユーザーまたはグループを指定
[カスタムランディングページ]とは標的型攻撃が成功したユーザーに表示するURLを指定。空白の場合デフォルトのページが表示
Office365 ATP P2で用意されているなりすましサイトを選択
メール本文を作成
フィッシングの開始
スピアフィッシングのメールの受信例
リンクをクリックしたときの表示例
なりすましサイトにアカウントを入力した後の画面
デフォルトのページ
カスタムページ
実行結果をCSV形式でエクスポート
実行中の画面
完了した画面
実行中の画面
完了した画面
© 2018 Microsoft Corporation. All rights reserved.
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
© 2019 Microsoft Corporation. All rights reserved.
本情報の内容 (添付文書、リンク先などを含む) は、de:code 2019 開催日 (2019年5月29~30日) 時点のものであり、予告なく変更される場合があります。
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。