Office 365 攻撃シミュレーターの使い方――インシデントに強い組織を作る：セキュリティインシデントへのプロアクティブな対策

「Microsoft Office 365」には、さまざまなセキュリティ機能が搭載されています。本稿ではその1つである「Office 365 攻撃シミュレーター」の目的と機能を紹介します。Office 365 攻撃シミュレーターでは、サイバー攻撃のシミュレーションを実行できるので、企業や組織はさまざまなセキュリティ対策や教育を事前に実施し、被害を防ぐことが可能になります。

[PR／＠IT]

PR

Office 365 攻撃シミュレーターの役割

　Microsoft では、セキュリティインシデントの対応プロセスを3つに分けています。今回紹介する「Office 365」の脅威インテリジェンス機能の1つである「Office 365 攻撃シミュレーター（Attack Simulator）」（以下、攻撃シミュレーター）は、セキュリティインシデント対応プロセスの「準備」に位置付けられています。

Microsoft が考えるセキュリティ体制《クリックで拡大します》

攻撃シミュレーターを実行するには？

　攻撃シミュレーターを実行するには、以下のライセンスと権限が必要です。

• ライセンス：Office 365 E5 または Office 365 Advanced Threat Protection（ATP）Plan 2
• 実施権限：多要素認証が有効になっている全体管理者またはセキュリティ管理者のアカウント

攻撃シミュレーターが実行できる疑似攻撃

　2019年10月現在、攻撃シミュレーターで実施できる攻撃は以下の3種類です。

• スピアフィッシング攻撃（資格収集攻撃）
• ブルートフォースパスワード攻撃（辞書攻撃）
• パスワードスプレー攻撃

　以降では、それぞれの役割と使い方を確認していきましょう。

スピアフィッシング攻撃の手法とは？

　「スピアフィッシング」は、ID、個人情報、重要データの搾取を目的とした攻撃です。ターゲットとなったユーザーに対して、特定の団体・組織になりすましたメールを送り、そこからIDや個人情報、重要データの搾取を試みます。

　ここで使われるメールには、IDやパスワードの入力を促す“不正なURL”が添付されています。これをクリックすると、特定の組織・団体になりすましたサインインページに誘導されます。アドレスバーを確認しない限り、本物のサインインページと区別することが困難であるため、ユーザーはそのサイトを本物のサイトと誤認識し、自身が利用しているIDとパスワードを入力してしまいます。

スピアフィッシング攻撃の仕組み

筆者が受信したスピアフィッシングメール（本物）。48時間以内にキャンセル処理を行わないと料金が発生するなど、受信者を心理的に焦らせるテクニックが使われている

スピアフィッシング攻撃のシミュレーション

　攻撃シミュレーターでは、対象者に向けて送信するメールのテンプレートと、Office 365 のサインインを模したサイトが用意されています。メールテンプレートはカスタマイズが可能なため、組織に応じた内容のメールを作成することができます。なお、このメールは Office 365 から直接対象者に送られるため、既存のメールフィルタリング設定に影響されることはありません。

メールテンプレート「給与支払名簿の更新」を使ってスピアフィッシング攻撃のシミュレーションを設定

　この攻撃が実行されると、対象者には以下のようなメールが送られます。

配信されたメールの例。変数を用いてアカウントの情報をメールに反映させることも可能

　対象者がメール内のボタンをクリックすると、用意されたなりすましサイトに誘導されます。

攻撃シミュレーターが用意したなりすましサイト。よく見るとドメインが異なっているが、それ以外の情報で本物／偽物を識別することは難しい

　対象者がなりすましサイトにIDとパスワードを入力すると、警告画面が表示されます。この画面もカスタマイズすることが可能です。組織に応じた警告文や報告先などを記載することができます。

デフォルトで用意された警告画面

　スピアフィッシング攻撃の結果は、レポートとして確認することができます。レポートでは対象者のうち、メールに含まれていたリンクをクリックしたユーザー数、実際にID／パスワードを入力したユーザー数を確認できます。この結果はファイルにエクスポートすることも可能です。

スピアフィッシング攻撃の実行結果の確認画面。個々の対象者の履歴もここで確認できる

スピアフィッシング攻撃シミュレーションの目的

　独立行政法人情報処理推進機構（IPA）では、スピアフィッシング攻撃シミュレーションの目的を以下のように定義しています。

「IPA注意喚起：攻撃の早期検知と的確な初動による深刻な被害からの回避を」別紙（出典：https://www.ipa.go.jp/files/000053336.pdf）

　スピアフィッシング攻撃シミュレーションを行うことで、なりすましメールに対して脆弱（ぜいじゃく）なユーザーを確認できるようになります。このようなメールにはユーザー個人が極力引っ掛からないように注意することが大事ですが、シミュレーションの通り、正しいサイトとなりすましサイトを見分けることは大変困難です。

　これを踏まえて、今日ではこのようなメールに引っ掛かってしまったときに、組織として迅速に対応できることがセキュリティ対策に望まれています。

ブルートフォースパスワード攻撃／パスワードスプレー攻撃の手法とは？

　「ブルートフォースパスワード」「パスワードスプレー」は、いずれも攻撃手法の種類です。攻撃者はターゲットとなるIDと推測したパスワードを用いて、IDのハッキングを試みます。

■ブルートフォースパスワード攻撃

　特定のユーザーに対し、さまざまなパスワードを組み合わせてIDのハッキングを試みます。「総当たり攻撃」とも呼ばれています。

■パスワードスプレー攻撃

　特定のパスワードを複数のユーザーに適用し、IDのハッキングを試みます。単一のIDに対して攻撃の回数が限定されるため、サインイン上限回数超過によるアカウントのロックアウトを回避することができます。

ブルートフォースパスワード攻撃／パスワードスプレー攻撃のシミュレーション

　攻撃シミュレーターでは、あらかじめ登録したIDとパスワードを使ってサインインを試行し、その結果をレポートすることができます。

　ブルートフォースパスワード攻撃をシミュレートする場合、ターゲットとなるユーザーを決定し、試行する際に利用するパスワードを事前にリスト化して、それを登録します。

ブルートフォースパスワード攻撃の設定例。特定のユーザーに対し、パスワードリストをアップロードしてパスワード攻撃を試行する

　これに対し、パスワードスプレー攻撃では複数のユーザーに対し、単一のパスワードを指定します。

パスワードスプレー攻撃の設定例。複数ユーザーに対し、単一のパスワードを指定

　シミュレーション実行後は、その結果をレポートで確認することができます。

ブルートフォースパスワード攻撃／パスワードスプレー攻撃シミュレーションの目的

　以前は、「パスワードは定期的に変更する」という考え方が一般的でした。しかし、近年はパスワードを定期的に変更することで、その記憶が煩雑になることや、同じパスワードを繰り返し再登録するリスクを鑑みて、「パスワードは複雑で推測されにくいものを継続使用し、セキュリティインシデントが発生した場合のみ変更する（※）」という考え方に変化しつつあります。

（※）総務省：国民のための情報セキュリティサイト（http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html）

　継続的に使うパスワードが推測されやすく、かつ単純なものである場合、ユーザーのパスワードのリスクはより高くなります。この状況を管理者側で把握するためにも、ブルートフォースパスワード攻撃やパスワードスプレー攻撃のシミュレーションを有効に活用することができます。

まとめ

　今回は、セキュリティインシデントに強い組織を作るためのツール／サービスとして、Office 365 攻撃シミュレーターを紹介しました。

　スピアフィッシング攻撃のシミュレーションでは、なりすましのメールに対し、安易にクリックしないことをユーザーに認識させるとともに、発生したインシデントを管理者に報告することを繰り返し啓蒙（けいもう）していきましょう。これを習慣化することで、実際に発生したインシデントを管理者側でより迅速に把握することができるようになります。

　また、パスワードは同じものを継続して使い続けるために、複雑なものを利用することをユーザーに義務付けていきましょう。今回のテーマからは少しそれますが、パスワード以外の認証（多要素認証）を利用することも視野に入れましょう。

　Microsoft では、Office 365 攻撃シミュレーターをはじめとした、さまざまなセキュリティ機能をクラウドサービス内に展開しています。これらの機能をご活用いただき、よりよいセキュリティ運用のお手伝いができればと考えています。