狙われるOffice365アカウント。パスワードスプレー攻撃の脅威

Office365の不正アクセス被害が増加している。(写真:アフロ)

 日本国内でもOffice365の採用が進んでいるが、それに比例するように「Office365に対して不正アクセスを受けた」という相談も増加している。昨年もOffice365を採用した大学で不正アクセスが相次ぎ文科省が注意喚起を行う事態となっていた。

■Offie365が狙われる背景

では、何故Office365が狙われるのか?筆者の見解を述べたい。

1.サイバー攻撃者にとって貴重な資産がOffice365へ移動

 Office365はExcelやWordといったオフィス文書を作成するアプリケーションからメール配信まで提供する。企業内で作成されるオフィス文書の大半を保管することになる。サイバー攻撃者にとってOffice365は「データの金庫」と言えるだろう。

2.ログイン画面までは、誰でも到達可能

 Office365はデータの金庫だが、ログイン画面はクラウド上に存在しているため、金庫の目の前までは誰でもアクセス可能だ。クラウドサービスによっては企業独自のログイン用URL等作成することが可能だが、Office365はそれが出来ないため、全世界のOffice365ユーザが共通のURLからログインする。サイバー攻撃者がIDとPWさえ知っていれば、簡単に侵入を許すことになってしまう。

3.セキュリティ設定、運用の不備

 Office365は非常に多機能で有るため、導入設計の検討要素は広範囲に渡る。それらに注力するあまり、セキュリティ面が考慮されていないことが多く、不正アクセスを検出する運用等実施されていることはで有る。

つまり、Office365の採用によって、企業内のデータ資産はOffice365にシフトし、ログイン画面までは容易にアクセス可能であるにも関わらず、セキュリティ面が手薄になっていることが多い。一方でデータがクラウドにシフトしてしまったにも関わらず、相変わらず社内サーバ等はFWやIDS/IDPで厳重に守られている。攻撃する側の視点に立てば、どちらを狙うべきかは容易に想像が付くだろう。

Office365採用企業のデータ資産はクラウド上に移動し、セキュリテイ監査も漏れが有ることが多く、アクセスも容易なため狙われやすい
Office365採用企業のデータ資産はクラウド上に移動し、セキュリテイ監査も漏れが有ることが多く、アクセスも容易なため狙われやすい

■Office365 不正アクセスの実態

 これは、実際に不正アクセスを受けているOffice365テナントをCASBを利用して地域別アクセス状況を可視化している画面だ。Office365に対してどういった地域からアクセスが発生しているのかをCASBで可視化しているのだが、正規のユーザは日本からしかアクセスしていない。にも関わらず世界各国からアクセスが発生していることがわかる。

Office365へどういった地域からアクセスが発生したかをCASBで可視化している画面。日本以外の地域から多数アクセスが発生しいることが解る
Office365へどういった地域からアクセスが発生したかをCASBで可視化している画面。日本以外の地域から多数アクセスが発生しいることが解る

 これは今Office365に対する主流な不正アクセス手法「Knock Knock攻撃」、「パスワードスプレー攻撃」と呼ばれる攻撃手法で有る。※Office365に対する攻撃としてマカフィー社が発見し「Knock Knock攻撃」と名付けたが、今ではOffice365以外にも同種の攻撃が多数確認され、パスワードスプレー攻撃と呼ばれることが一般的になってきたので、パスワードスプレー攻撃と表記する。

■従来の不正アクセス検出をすり抜けるパスワードスプレー攻撃

 パスワードスプレー攻撃は、非常に「ゆっくりとした攻撃」として知られている。特定のIDに対して一日に一回位のペースでログイン試行を試みる。一度失敗すると、間隔を開けて「別のIPアドレス」や「地域」からアクセスを試みる。気の長くなるような話だが、これを「ボット」を使って、延々と繰り返すのだ。

 パスワードスプレー攻撃は、非常にゆっくりとログイン試行を繰り返すため、連続5回失敗したらアカウントをロックするといったアカウントロックの仕組みでは検出出来ないし、IPも毎回変えてくるため、特定IPからのアクセスを禁止するといった制御も回避してくる可能性が高い。

 通常のユーザのログイン失敗のように見えるため、Office365の監査ログをただ眺めていても、パスワードスプレー攻撃を仕掛けられていると気付くことは難しい。

■ドメインさえ知られていれば、どこの企業も狙われる

 そんなサイバー攻撃は我社には無縁と思うかもしれないが、そうとは限らない。Office365のIDを乗っ取ることが出来れば、メール送信も行えるようになるため、正規ドメインからフィッシングメールを送信することが可能になる。データ資産に価値は無かったとしても、この正規ドメインからのフィッシングメール送信のために、狙われる可能性は存在する。

 Office365のログインURLまでは誰でもアクセスが可能で有るため、企業ドメインさえ知られていれば、ユーザIDの部分だけを毎回変えて、侵入可能なIDを偵察されるのだ。

 ドメイン名は固定で、ユーザID部分のみを変えて不正ログインを試みる

 例 test.comという企業を狙う場合

   abc.def@test.com

   admin@test.com

■100点満点のOffice365セキュリティ対策ソリューションは存在しない

 今回紹介した、Office365へのパスワードスプレー攻撃は、CASBで不正アクセスの可視化と、SSOソリューション等である程度の対策を行うことは可能だ。しかし、Office365へのサイバー攻撃は、日進月歩で増殖している。各社が競ってOffice365用セキュリティ対策ソリューションを提供しているが、まだまだ完璧とは言い難く、これを導入すれば完璧ですというソリューションは存在していないというのが、筆者の見解で有る。

 Office365の管理者に任命された場合にまず考えるべきは、適切な監査機能の有効化と、不正攻撃の検出・可視化の仕組みの導入だろう。自社のOffice365テナントに対してどういった攻撃を加えられているか?を検出出来れば、対策の検討へと進められる。検出の仕組みが無い中で、手探りで対策だけを検討するのは、無駄なセキュリティ投資となってしまう。

 サイバー攻撃者らはOffice365を取り巻くセキュリティ対策の現状を理解しているため、狙い目と考えている状況でも有るだろう。Offie365はマイクロソフトが提供しているサービスだから安心、大企業も使っているから安心等という根拠の無い自信で、無防備なまま運用するのではなく、適切なセキュリティ運用施策を検討することを推奨する。