Office 365 Threat Intelligence – 攻撃シュミレーターを使用したスピアフィッシング攻撃のシュミレーション

今日の記事は、Office 365 Threat Intelligence  [脅威インテリジェンス] の機能の一つ、Attack Simulator  [攻撃シュミレーター]  を使用したスピアフィッシング攻撃のシュミレーションについての内容です。

Attack Simulatorを使用することで、組織内で現実的なサイバー攻撃のシュミレーションを実行できます。これにより、実際のサイバー攻撃が組織の収益に影響を与える前に、サイバー攻撃を受けた際に被害を被る可能性のあるユーザーを特定することが可能です。それらのユーザーに対してのITセキュリティ教育の実施、またはITセキュリティ対策の実施をすることでサイバー攻撃からの被害を未然に防ぐことに役立ちます。

このAttack Simulatorでは現在、３つのサイバー攻撃のシュミレーションを行う事が可能です。それぞれの機能の概要について記載致します。

■Office 365 Threat Intelligence – 攻撃シュミレーターで実行可能な攻撃について

■スピア フィッシング攻撃

スピアフィッシング攻撃は、人々をだまして操作を実行させたり機密情報を漏洩させたりすることを目的としています。たとえば、受信者をだまして、情報を収集する不正な Web サイトに移動する URL をクリックさせる場合があります。スピアフィッシングによる資格情報収集攻撃のシミュレーションを設定する場合は、ターゲット受信者が信頼する送信者の表示名を含むメールを作成し、受信者がメッセージ内のリンクをクリックするよう誘導します。受信者が URL をクリックすると、受信者は指定したページに移動し、リンクのクリックが記録されます。

■プルートフォースパスワード(辞書攻撃）

ユーザーのパスワードを解き当てるために、コンピューターを使用してパスワードの多数のバリエーションを試すパスワード解析手法が使用されます。攻撃者がユーザーのユーザー名とパスワードを入手すると、攻撃者は一般的に、Office 365 にサインインして、他のユーザー アカウントや機密情報などのその他の情報にアクセスできるようになります。ブルート フォース攻撃は、パスワードを構成することができるすべての文字の組み合わせを計算し、それが正しいパスワードであるかどうかをテストするというしくみになっています。パスワードの長さが増えると、正しいパスワードを見つけるのにかかる時間がたいていは指数的に増えます。したがって、短いパスワードは通常かなり短時間で見つけられますが、長いパスワードの場合は数十年かかることがあります。ブルート フォース パスワード攻撃には、既知のパスワードのリストを使用する辞書攻撃と、文字の組み合わせを順番に試す全数攻撃の 2 種類が存在します。攻撃シミュレーターでは辞書リスト攻撃が使用され、攻撃の間隔と試行数が変更できます。パスワードが見つかった場合、パスワード自体は表示されませんが、パスワードが見つかったことのみが示されます。

■パスワード スプレー攻撃

組織に対するパスワード スプレー攻撃の通常の方法では、有効な Office 365 ユーザー アカウントのリストに対して、よく使用されるパスワードのリストを実行します。通常、攻撃者は 1 つのパスワードを作成して、すべての既知のユーザー アカウントに対して試します。攻撃が失敗した場合、攻撃者は慎重に作成された別のパスワードを使用してもう一度試します。この際、ポリシーに基づくアカウントのロックアウトがトリガーされないように、通常は次の試行まで間隔を置きます。

本日は、この機能の中のスピア フィッシング攻撃 のシュミレーションについて、実際のイメージをご紹介します。

まず、本機能を使用する為の前提条件について記載します。幾つか前提となる条件がありますが、大きなポイントとしては、攻撃シュミレーションを実行する管理者アカウントに対して、 マルチファクタ認証を有効化する必要があることです。

マルチファクタ認証の有効化については、ライセンスさえあれば比較的容易に設定をすることが可能です。有効化手順については記載を省略させていただきますので、以下サイトを参照し、設定をしてください。

https://support.office.com/ja-jp/article/office-365-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E7%94%A8%E3%81%AE%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%82%92%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B-8f0454b2-f51a-4d9c-bcde-2c48e41621c6

□本機能を利用する為の前提条件

※本機能を使用する為には、Office365 E5または、追加のアドオンが必要となります。

※Office 365脅威インテリジェンス有効化されており、セキュリティ＆コンプライアンスセンターに攻撃シミュレータが表示されている必要があります。（脅威管理 > 攻撃シミュレータ）

※本機能を使用する際に、組織の電子メールはExchange Onlineでホストされます。（アタックシミュレータはオンプレミス電子メールサーバーでは使用できません）。

※攻撃シュミレーションの実行者は、セキュリティ＆コンプライアンスセンターを操作する権限を割り当てられたOffice 365グローバル管理者である必要があります。

※Azure マルチファクタ認証を利用可能なライセンス (Azure AD Premium P1) 及び、攻撃シュミレーションを実行するアカウントで事前に、マルチファクタ認証の有効化と設定が必要です。（これは攻撃を実行する管理者アカウントのみに対しての有効化が必要です。攻撃対象となるユーザーに対しては、MFAの有効化は必要ありません。）

それでは、実際にAttack Simulatorを使用してスピア フィッシング攻撃 のシュミレーションを実行していきたいと思います。

 ■スピアフィッシング攻撃のシュミレーション　[攻撃の開始]

1. MFAを設定した管理者アカウントで、Office 365へサインインします。

URL: https://portal.office.com

2.セキュリティ/コンプライアンス　を選択し、左側メニューから　脅威の管理　－　攻撃シュミレーターを選択します。

3.[スピアフィッシング (資格情報収集) Account Breach]　欄の、[攻撃の開始]を選択します。

4.メールのテンプレートを使用する場合は、[名前] 欄  右下の [Use Template]を選択します。詐欺メールの本文に独自の文章を使用する場合には 名前欄に、攻撃を識別する為の名前を入力します。(今回はテンプレートを使用します)

5.[組織内のユーザーの検索] 欄に、攻撃をシュミレーションする対象のグループまたは個別のユーザーを選択します。

6.メールの詳細を入力してください画面で各項目を入力します。メールの送信元を偽装する場合は、ここで入力をするメールアドレスは実際には存在しないメールアドレスの入力も可能です。それぞれの項目については以下を参照して入力してください。

差出人：攻撃訓練メールの送信者を設定します

差出人(メール)：攻撃訓練メールの送信者のアドレスを設定します

フィッシングのログインサーバのURL：資格情報を搾取する、攻撃訓練WEBサイトを一覧から選択します。

カスタムランディングページのURL：(省略可能)  攻撃訓練WEBサイトログイン後に、リダイレクトするページを指定出来ます。

件名：攻撃訓練メールで使用するメール件名を入力します

7.メールの本文画面で、本文の入力をします。尚、今回はテンプレートを使用しているので、テンプレート画面が表示されていますが、テンプレートを使用した場合でも、本文や画像の変更は可能です。

8.フィッシング攻撃をはじめますか の確認画面で、攻撃を開始する場合には[完了]を選択します。

 ■スピアフィッシング攻撃のシュミレーション　[ユーザー側の操作]

1.攻撃シュミレーションの対象となったユーザーには、以下のようなメールが受信されます。

2.管理者が設定した通り、送信元が偽装されています。（下図の送信元アドレス及び差出人は検証の為に偽装したものです。）

３．受信したメール内のリンクをクリックすることで、資格情報を抜き取るシュミレーションの為の偽詐欺サイトへ接続します。このMicrosoftサインインと酷似した画面内でユーザーが資格情報を入力すると、管理者はレポートで確認ができます。（この画面が現在英語のみに対応しているようです）

4. ユーザーが資格情報を入力すると、以下の画面が表示され攻撃のシュミレーションであったことが通知されます。（先ほどの偽サインイン画面で入力した資格情報が誤ったものだったとしてもこの画面が表示されます。）

こちらの画面も現在は英語のみに対応している為、このまま使用するとユーザーの混乱を招く恐れがあります。その為、先ほどの攻撃の設定内 [ カスタムランディングページのURL ] に任意の通知ページを設定することで、下図のサイトの代わりに、事前に指定したWEBサイトへ接続される為、本シュミレーションを実行する際にはカスタムランディングページを用意することをお勧めいたします。

 ■スピアフィッシング攻撃のシュミレーション　[レポートの確認]

1.管理者は、組織内でどれだけのユーザーが攻撃シュミレーションの被害を受けたかレポートで把握することができます。管理者アカウントでOffice 365へサインイン後、セキュリティ/コンプライアンス　を選択し、左側メニューから　脅威の管理　－　攻撃シュミレーターを選択し、対象の攻撃欄に表示されている [レポートの表示] または、[攻撃の詳細] を選択することで、組織内のシュミレーション被害状況を把握し、実際のサイバー攻撃を受けた際、被害を受けやすいユーザーを特定することができます。