MailData

Office 365のセキュリティに関する最大の迷信

Office 365のセキュリティに関する最大の迷信

Office 365が保護できないもの

2023年3月1日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 The Biggest Myth About Security with Office 365 の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

一見すると、MicrosoftのOffice 365スイートはかなり……素晴らしいと思いませんか?

多くの生産性向上アプリ、クラウドストレージ、メールサービスを利用できるだけでなく、Microsoft独自のメールセキュリティソリューションでスパムからも保護されます。
市場シェア54%、アクティブユーザ数1億5500万人以上と、最も広く採用されている企業向けメールソリューションであることも頷けます。
あなたもその(使用している)一人でしょう。

でも、サイバーセキュリティ企業がOffice 365についてブログを書いているのなら、もっと何かあるはずでしょう?
まあ、そうですね。
あるんです。

そこで、Office 365 のセキュリティオプションの問題とは一体何なのか、そしてなぜこのことについて本当に知っておく必要があるのかについてお話ししましょう。

Microsoft Office 365のセキュリティが得意とすること

その問題点を語る前に、まず、このことを手短に説明しましょう。
Microsoft Office 365 Advanced Threat Protection(なんて長い。以下Office 365 ATPとします)は、基本的なメールセキュリティにかなり効果的です。
スパムメール、マルウェア、ウイルスが受信トレイに入り込むのを阻止することができます。

基本的なスパム対策だけを探しているのであれば、これで十分でしょう。
しかし、それが問題なのです。
このような低レベルのスパムは、通常、最大の脅威とはなりません。

ほとんどのメールプロバイダは、疑わしい送信元からのメールをブロックすることで、何らかの形で基本的な保護機能を提供しています。
しかし、本当の脅威は、お金やデータ、ブランドの信頼性を失うような、偽物のメールであることに気づかせないように巧妙に仕組まれたメールです。
これは、深刻なサイバー犯罪の域に入るケースです。

Microsoft Office 365では防げないもの

Microsoft Office 365のセキュリティソリューションは、スパム対策フィルタのように機能し、アルゴリズムを使ってメールが他のスパムや フィッシングメールと類似しているかどうかを判断します。
しかし、ソーシャルエンジニアリングを利用したはるかに高度な攻撃や、特定の従業員または従業員グループを狙った攻撃に遭った場合はどうなるのでしょうか?

これらは、何万人もの人々に一度に送信されるありふれたスパムメールではありません。
ビジネスメール詐欺(BEC)やベンダメール詐欺(VEC)は、攻撃者がターゲットを慎重に選び、メールを盗み見ることでその組織に関する情報を入手し、戦略的なタイミングで偽の請求書や依頼書をメールで送り、送金やデータの共有を依頼する例です。

スピアフィッシングとして広く知られているこの手口は、自組織内の誰か、または信頼できるパートナーやベンダから送られてくるメールに見せかけます。
注意深く調べても、これらのメールは非常にリアルに見えるため、経験豊富なサイバーセキュリティの専門家でもほとんど発見することができません。

攻撃者が上司やCEOになりすましてメールを送ってきたとしても、そのメールが本物かどうかを確認することはまずないでしょう。
これこそが、BECやCEO詐欺の危険なところです。

Office 365は、この種の攻撃からユーザを保護することができません。
なぜなら、これらは表向きは実在の人物から送られてきており、アルゴリズムはそれをスパムメールとは見なさないからです。

BECやスピアフィッシングからOffice 365を守るには?

DMARC(Domain-based Message Authentication, Reporting & Conformance)は、ドメイン所有者が提供する情報を使用して、なりすましメールから受信者を保護するメールセキュリティプロトコルです。
組織のドメインにDMARCを実装すると、受信サーバは、ドメインから送られてくる一つ一つのメールを、公開したDNSレコードと照合するようになります。
しかし、Office 365 ATPで標的型なりすまし攻撃を防げなかったのなら、DMARCはどうなのでしょうか?

DMARCは、スパム対策フィルタとは全く異なる機能です。
スパムフィルタが受信トレイに入るメールをチェックするのに対し、DMARCは組織のドメインから送信されるメールを認証するのです。
つまり、誰かがあなたの組織になりすまし、フィッシングメールを送ろうとしても、DMARCが適用されていれば、そのメールは迷惑メールフォルダに振り分けられるか、完全にブロックされます。

また、サイバー犯罪者があなたの信頼できるブランドを利用してフィッシングメールを送信した場合、顧客でさえもそれに対処する必要がないことを意味します。
DMARCは、実はあなたのビジネスの保護にも役立っているのです。

※訳注:DMARCはドメイン所有者側が設定でき、設定しておくとそのドメインの名で送信されるメールを全て自動で検証するため、受け取る側の顧客が何らかの対処をする必要はない、という意味です。

しかし、それだけではありません。
Office 365は、実際にはフィッシング攻撃を可視化することはできず、スパムメールをブロックするだけです。
しかし、自社のドメインを適切に保護したいのであれば、誰が、または何が自社ブランドになりすまそうとしているのかを正確に把握し、即座に対策を講じる必要があります。

DMARCは、不正な送信元のIPアドレスや送信したメールの数などといったデータを提供します。
PowerDMARCは、ダッシュボード上で高度なDMARC分析を行うことで、これを次のレベルに引き上げます。

PowerDMARCがあなたのブランドに対してできることの詳細をご覧ください。

2週間のトライアルをお試しになる場合はこちらからご連絡ください。