8 月下旬、マイクロソフトは、電子メール ビジネスの将来とセキュリティに関する課題について、数年にわたる真摯なプレス リリースよりも多くのことを明らかにする無料サービスを発表しました。
AccountGuardと呼ばれるこのサービスは、ロシアによる米国大統領選挙と候補者へのフィッシング詐欺という現象に対するMicrosoftの回答です。考え方はシンプルです。多くの候補者とその支援者は、Office 365、Outlook.com、あるいはかつてHotmail.comと呼ばれていたサービスを通じてメールを利用しています。しかし、これらのサービスには悪意ある人物の侵入を防ぐのに必要なセキュリティが欠けています。AccountGuardは、その追加防御機能となるようです。
このサービスは本質的に、同社の Microsoft Threat Intelligence Center (MSTIC) からの情報を利用する、Office 365 メールの監視バージョンです。
「Microsoft AccountGuard は、組織が運用する電子メール システムと、同意した組織のリーダーやスタッフの個人アカウントの両方に、統一された方法で、既知の国家主体による攻撃を含むサイバー脅威に関する通知を提供します」と、顧客セキュリティおよび信頼担当のコーポレート副社長トム バート氏が執筆した発表の宣伝文句には記されており、この宣伝文句では「民主主義の保護」が強調されている。
2要素認証(2FA)を使っている人はいますか?素晴らしい2要素認証です。Gmailユーザーのうち、2要素認証を有効にしているのは10%未満です。
続きを読む
これは一見、2018年初頭に開始されたGoogleの高度な保護プログラム(APP)に少し似ているように思われますが、Microsoftのサービスは選挙に立候補する候補者のみを対象としているのに対し、Googleのサービスは誰でも利用できます。AccountGuardはフルサービスで、無料のメールと電話によるサポートが付属しています。
APP は基本的に、Gmail ユーザーにハードウェア認証キー (Google の新しい Titan キーを参照) でのログインを義務付け、サードパーティ アプリのアクセスをロックアウトし、キーを紛失した場合に面倒なアカウント リセットを強いることになります。
これはユーザーが従うべきルールを定めたものですが、本質的には受動的なものです。一方、AccountGuardは、Microsoftが候補者を標的としたフィッシング攻撃の可能性を検知した際に、候補者に通知することを目的としています。候補者はトレーニングを受けることもできます。
選挙に敏感な顧客?誰かいますか?
違いは些細なものに聞こえるかもしれませんが、無料のサービスであるにもかかわらず、サポート体制が充実しているのは大きな進歩です。「無料」という点があまりにも大きな意味を持ち、マイクロソフトは弁護士に依頼して連邦選挙委員会(FEC)に書簡(PDF)を送り、AccountGuardが米国法で禁じられている選挙活動の現物寄付に関する規則に違反しないという説明を求めました。
1337件のエクスプロイトを恐れる必要はありません。ずさんなモバイルやフィッシング対策は、企業のITセキュリティにとってはるかに大きな脅威です。
続きを読む
これは、混沌のオークから民主主義を守るという大げさなマーケティングの売り文句が、良いビジネスになるかもしれないということを含め、AccountGuard のコンセプトを思いついたときの Microsoft の考え方について貴重な洞察を提供した。
「マイクロソフトは、アカウントガードサービスが選挙に敏感な顧客の間での市場シェアの維持と拡大に貢献し、プログラム参加者から得られる脅威情報を通じて同社の製品開発を支援し、同社のブランドの評判を守ると考えている」と法的文書には記されている。
この書簡では、マイクロソフトが AccountGuard の対象範囲を拡大し、国や州の政党委員会、選挙関連技術ベンダー、シンクタンク、支援団体、そしておそらく Google の APP を狙ったジャーナリストも含める計画があることを明らかにしている。
興味深いことに、この書簡にはさらに、「現時点ではそうした企業との契約はないが、マイクロソフトは最終的には AccountGuard プログラムを Facebook や Twitter などの提携企業にまで拡大したいと考えている可能性がある」と書かれており、これは AccountGuard を政治要人のオンライン プロフィール全体を保護する礎石として想定しているような野心的な計画であるようだ。
失敗したメールの神
ここでどのような思惑が働いているにせよ、Webメールセキュリティは翼の折れた鳥のようなものだということを両社は暗黙のうちに認めている。業界はメール検証と認証の問題に理性を与えようと、SPF、DKIM、DMARCといった取り組みに躍起になったが、フィッシング犯罪の侵入を阻止することはできず、おそらく今後も不可能だろう。
改善策については多くのアイデアがあり、まずは認証の抜本的な見直しから始めましょう。GoogleはGmailで2段階認証セキュリティをほとんど利用していないことを認めていますが、トークンやワンタイムコードをあれこれいじるだけではセキュリティは確保できません。メールに必要なのは認証の強化ではなく、より容易な認証です。だからこそ、WebAuthnなどの新しい標準規格が有望視されているのです。
より高度なアカウント監視は、次に必須となるでしょう。だからこそ、GoogleのアプリとMicrosoftのAccountGuardが重要視されるのです。後者はまだ万人向けではありませんが、Office 365サブスクリプションにバンドルされれば、自尊心のあるメールユーザーなら誰もが欠かせないものになるかもしれません。®
