de:code 2019 SE06

使える？！

Office365アタックシミュレーター

日本マイクロソフト株式会社

セキュリティ技術営業部 テクノロジー ソリューション プロフェッショナル

荒木 さつき

自己紹介# 所属・名前

• 日本マイクロソフト

• セキュリティ技術営業部/ テクニカルソリューションプロフェッショナル

• 荒木 さつき

# 現在のお仕事

• Enterprise向けにMicrosoft 365 セキュリティプリセールスエンジニア

サイバーセキュリティ担当

• 外部向けセミナーにも時々登壇

# 資格

• CISSP、Microsoft 365 Certified Security Administrator

Associate、CCIE Emeritus 、LPIC-3 Security、PCNSE

本日の目的

Office365 アタックシミュレーターは何のためにあるの？

Office365 アタックシミュレーターが何ができるの？

Exchange Online

Protection

• スパムフィルターを用いたなりすましメールの検知

• コンテンツフィルターを用いたなりすましメールの検知

Office 365 Advanced

Threat Protection

Plan2

• Office 365内で検知した脅威を可視化

• 検知した脅威に対する封じ込め対策を実施

Exchange Online

Protection

• 送信元IPに基づいたフィルタリングの実施

Office 365 Advanced

Threat Protection

Plan1

• サンドボックスを用いてシグネチャに登録されていないゼロデイマルウェアを検知

Exchange Online

Protection

• シグネチャに基づいたマルウェア検知を実施

なりすましメールからの保護

マルウェアの検知

不正な通信の確認

Office

E1

Office

E5

Office 365 Advanced

Threat Protection

Plan2

• 推測しやすいパスワードを利用するIDの検知

• 標的型攻撃訓練の実施

Office 365 Advanced

Threat Protection

Plan1

• メール本文や添付ファイルのURLリンクを書き換えてユーザーがアクセスした際、その正当性を確認

Office 365 Advanced

Threat Protection

Plan1

• 組織内部のメールを学習し通常とは異なるメールをなりすましメールとして検知

メールセキュリティの管理

プロアクティブセキュリティ

Exchange Online

Protection

• メールフロールール(トランスポートルール)を用いて送受信メールに対し適切なアクションを実施

ここ！

トライアルもありますよ！→

準備やられないようにする

やられたときの対処を確認する防御力向上

検知・分析やられている事を

すぐに検知する検知分析

根絶・復旧・

封じ込め

やられても被害を

小さくする被害軽減

事件発生後の

対応

やられた後でも、

情報を保護する事後対応

NIST SP 800-61

-6-

Microsoft

セキュリティ体制

ここで使います！

SE05 もうセキュリティはやりたくない！第3弾

17:40~ RoomDにて開催！

利用できるシミュレーションは3つ！

https://www.ipa.go.jp/security/vuln/10threats2019.html

コインチェック社で580億円のネム（NEM）ハッキング被害。

顧客資産は凍結状態に 2018/01https://cc.minkabu.jp/column/297

産総研で重大なセキュリティインシデント、

ネット遮断で調査中 2018/2 https://japan.zdnet.com/article/35114695/

JAL ３．８億円詐欺被害

ビジネスメールに割り込み偽請求 2018/01 http://www.yomiuri.co.jp/science/goshinjyutsu/20180109-OYT8T50178.html

５月の大規模サイバー攻撃は北朝鮮「関与」ハッカー集団「ラザルス」が攻撃か 2017/12 http://www.sankei.com/world/news/171220/wor1712200005-n1.html

関連する実被害・ニュース

7億超のメアドと2000万超のパスワードがオンラインに流出 2019/1https://news.goo.ne.jp/article/mycom/business/mycom_1866361.html

「宅ふぁいる便」不正アクセスで480万件の

個人情報漏えいが発覚 2019/1http://nlab.itmedia.co.jp/nl/articles/1901/26/news032.html

パスワード16億件の流出を確認

ソニー、トヨタ自動車など日本企業の被害多数 2018/9https://nkbp.jp/2NmBv0E

順位 「組織」の 10 大脅威

1 標的型攻撃による被害

2 ビジネス メール詐欺による被害

3 ランサム ウェアによる被害

4サプライチェーンの弱点を悪用した

攻撃の高まり

5 内部不正による情報漏えい

6 サービス妨害攻撃によるサービスの停止

7インターネット サービスからの

個人情報の窃取

8 IoT 機器の脆弱性の顕在化

9 脆弱性対策情報の公開に伴う悪用増加

10 不注意による情報漏えい

アップル元従業員、自動運転車の機密情報を盗んだ罪でFBIに摘発。転職先への土産代わり？2018/10https://japanese.engadget.com/2018/07/11/fbi/

無差別に行われる攻撃とは異なり、対象の組織や個人に特有の情報を

積極的に利用することが多い。例えば、ウイルスメールの件名や本文、偽

装された送信元、添付ファイル名などに、対象と関わりのある実在の組

織や人物、事業などの名称を記し、対象者の油断を誘って感染させると

いった手法がよく用いられる。

こんなメールが届きます

なりすましサイトもついています

組織としてどのように行動できるか

チャットベースのワークスペースTeams

メール & カレンダーExchange, Outlook

通話、ビデオ & 会議Skype for Business

マルチ OS 対応 OfficeOffice ProPlus

情報共有、クラウドストレージSharePoint

ソーシャルネットワークYammer

コンプライアンスData Loss Prevention (DLP)

Microsoft 365

Enterprise

E3

Office 365 Enterprise Enterprise Mobility + Security Windows 10 EnterpriseID & アクセス管理Azure Active Directory Premium P1

Windows Server CAL

デバイス管理Microsoft Intune

System Center Configuration Manager

情報保護Azure Information Protection Premium P1

AD への ID ベース攻撃検知 (サーバー設置型)

Microsoft Advanced Threat Analytics

エンドポイントセキュリティMicrosoft Defender System Guard

Microsoft Defender Application Guard

Microsoft Defender Exploit Guard

Microsoft Defender Application Control

先進的な PC 管理、展開Azure AD Join & AutoPilot

Microsoft 365

Enterprise

E5

Office 365 Enterprise Enterprise Mobility + Security Windows 10 Enterprise

ID 保護 & 特権管理Azure Active Directory Premium P2

機密情報の可視化と自動的な情報保護Azure Information Protection Premium P2

AD への ID ベース攻撃検知 (SaaS 型)

Azure Advanced Threat Protection

CASB (Cloud Access Security Broker)Microsoft Cloud App Security

E 5 E 5 E 5

E 3 E 3 E 3

EDRMicrosoft Defender Advanced Threat Protection

エンドポイントセキュリティMicrosoft Defender Exploit Guard

(Attack Surface Reduction)

音声通話PSTN Conferencing, Cloud PBX

アナリティクスPower BI Pro, My Analytics

セキュリティ & コンプライアンスOffice 365 Advanced Threat Protection

Threat Intelligence

Advanced Compliance & more

メールを管理者に報告するまでが訓練です！

パスワードの定期的な変更を基本的なセキュリティポリシーから削除

パスワードとして望ましくない単語・文字・数字のリストの適用・多要素認証を推奨

リストに記載されているパスワードをIDに対して試行することで脆弱なアカウントを検知

password 指定したパスワードをすべてのIDに対して試行することで脆弱なアカウントを検知

クラウドIDパスワードハッシュ同期＋シームレスSSO

パススルー認証＋シームレスSSO

パススルー認証の場合

まとめ

標的型攻撃シミュレーターは個人をあぶりだすための

ツールではなく、組織のセキュリティ体制を点検するツール• 避難訓練と同じ。組織としてどのように動くのかということを確認

強いパスワードのアップデート• 定期的なパスワード変更よりも推測することが困難なパスワードであることを

確認

• 推測しにくいパスワードを各個人が意識して設定することが大事

伝えたかったこと

補足資料

現在登録されているテンプレートは二種類

対象となるユーザーを指定

対象となるユーザーまたはグループを指定

対象となるユーザーまたはグループを指定

[カスタムランディングページ]とは標的型攻撃が成功したユーザーに表示するURLを指定。空白の場合デフォルトのページが表示

Office365 ATP P2で用意されているなりすましサイトを選択

メール本文を作成

フィッシングの開始

スピアフィッシングのメールの受信例

リンクをクリックしたときの表示例

なりすましサイトにアカウントを入力した後の画面

デフォルトのページ

カスタムページ

実行結果をCSV形式でエクスポート

実行中の画面

完了した画面

実行中の画面

完了した画面

© 2018 Microsoft Corporation. All rights reserved.

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

© 2019 Microsoft Corporation. All rights reserved.

本情報の内容 (添付文書、リンク先などを含む) は、de:code 2019 開催日 (2019年5月29~30日) 時点のものであり、予告なく変更される場合があります。

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。