多要素認証が導入されていても、ハッカーが Microsoft Office 365 のメールやカレンダーにアクセスできる可能性があると、今週警告されました。
電子メールセキュリティ企業のProofpointは、サイバー犯罪者は十分に保護されていない古いシステムを標的にすることで、シングルサインオンや多要素認証を回避し、企業のOffice 365アカウントに侵入することができると主張している。
言われているように、その手口は、脆弱なパスワードや既知のパスワードを使用し、多要素認証で保護されていないレガシーサービスを狙うというもので、一度乗っ取られれば企業内部を覗き見するのに利用される可能性がある。標的のパスワードがわからない場合、メールやインスタントメッセージでフィッシングされる可能性がある。
これはすべて明白なことのように思えるかもしれませんが、どうやらこれによって傷つけられる人もいるようです。
「現在の攻撃の波は、主にExchange Web ServicesとActiveSyncを狙っています」と、プルーフポイントのサイバーセキュリティ戦略担当シニアバイスプレジデント、ライアン・カレンバー氏は今週初めに述べた。「リアルタイムのフィッシングが少し混ざっていますが、通常は必要ありません。」
実世界の例
例えば、Proofpoint社は最近、1万5000人のユーザーを抱える金融サービス・保険会社の最高経営責任者(CEO)のOffice 365アカウントに攻撃者がアクセスした事例を確認したと発表しました。ハッカーはCEOのメールやカレンダーを閲覧し、巧妙な詐欺を実行する機会を探ろうとしていました。
Office 365はビールの日を祝ってビールを一杯飲みに出かけます
続きを読む
最高経営責任者(CEO)がサプライヤーとの予定された会議に出席していたのと同時に、侵入者は不正アクセスしたアカウントを使用して最高財務責任者(CFO)にメールを送信し、資金の移転を要求しました。この金融サービス会社は、複数回の送金で100万ドルの損失を被ったとされています。
7万5000人のユーザーを抱える不動産投資会社で、侵害されたOffice 365アカウントが別の詐欺に利用されました。地域担当ゼネラルマネージャーを含む5人の幹部のアカウントが侵害されました。攻撃者は彼らのOffice 365メールにアクセスし、企業資金のABAルーティング番号を変更しました。Proofpointによると、この結果、同社は50万ドル以上の損失を被りました。
驚くべき偶然ですが、セキュリティベンダーであるProofpointは、侵害されたMicrosoft Office 365アカウントを検出し、プロアクティブに保護するProofpoint Cloud Account Defense(CAD)をリリースしました。Kalember氏は、防御層をさらに強化する必要があると説明しました。
「ほとんどの組織にとって、Exchange へのすべてのインターフェースを MFA [多要素認証] でカバーするのは非常に困難です」と Kalember 氏はEl Regに語った。
特にEWS(Exchange Web Services)の場合、1) O365への完全移行、2) Microsoft独自のMFAの使用、3) モダン認証モードの導入が必要です。この技術ではネイティブのiOS/Androidメールクライアントなどをサポートできません。
つまり、完全に保護されていると思っているかもしれませんが、念のためもう一度確認し、すべてのサービスインターフェース、特にExchange Webサービスに関する防御を強化することをお勧めします。将来のトラブルを未然に防ぐことができます。
クラウドセキュリティの第一人者、リッチ・リリー氏は次のようにコメントしています。「EWS(Exchange Web Services)は、MFAでは保護できない基本認証を使用するレガシープロトコルです。正しい方向としては、最新の認証対応クライアントに移行してこのセキュリティホールを塞ぎ、すべての基本認証をブロックすることです。」
プルーフポイントのカレンバー氏は、この攻撃手法はよく知られていると認めつつも、変化しているのは、サイバー犯罪者が電子メールアカウントをハッキングするために「このベクトルを大規模かつ広範に利用」し、主に他の詐欺行為を推し進めていることだ、と強調した。®
