(ランサム)今、Microsoft 365ユーザーはどこが脆弱なのか？

企業やそのユーザーの間では、クラウド環境はランサムウェアの脅威から免れるという誤解が一般的になっています。しかし、Proofpointの研究者が最近発見したところによると、悪意のある行為者は、Microsoft 365のファイルバージョンのバックアップを悪用することでランサムウェア攻撃を仕掛けることができます。

簡単に言えば、サイバー犯罪者は、バックアップされたものも含め、ファイルの既知のすべてのバージョンを、専用のバックアップや攻撃者からの復号キーなしでは修復不可能な状態に暗号化することができます。

残念ながら、ランサムウェアがMicrosoft 365の世界に侵入したのはこれが初めてではありません。6年前を振り返ると、Cerberランサムウェアの亜種がMicrosoft 365を標的とし、Microsoft 365のネイティブセキュリティを回避できる新しいゼロデイ攻撃で数百万人のユーザーを危険にさらしました。

どのようにして、と疑問に思われるかもしれません。今日でも使われている同様の手法、すなわち悪意のあるファイル添付付きのフィッシングメール、ユーザーを騙してマクロコンテンツを許可させること、サードパーティアプリケーションの悪用、その他さまざまな方法が用いられています。

クラウドサービスが単一のエコシステムに膨大な数のユーザーを集積するにつれて、サイバー犯罪者の主要な標的となります。Microsoft 365サービスをすべて利用している多くの企業セグメントに、巧妙に設計されたランサムウェア攻撃がどれほどの損害を与えるか想像してみてください。2020年にSolarWindsとMicrosoftに対する最初の成功した攻撃で見たように、経済的影響は壊滅的になる可能性があります。

これらの侵害はどのように発生したのでしょうか？

クラウドサービスとアプリケーションは、これまで以上にビジネスにとってミッションクリティカルになっています。そのため、被害者が身代金を支払う可能性が高いことを知っている犯罪者が、Microsoft 365のようなクラウドプラットフォームを標的にし続けるのも当然です。ここでの攻撃ベクトルは、クラウドバックアップのためのMicrosoft 365のネイティブ機能の悪用を含みます。組み込みツールやパラメータを利用して「環境に潜む」脅威は、悪用されやすく、検出や防止が困難であるため、通常、軽減するのがより困難です。

何ができるでしょうか？

ベストプラクティスの組み合わせは、このような攻撃の影響を大幅に軽減するのに役立ちます。特に、ここでの最初の攻撃ベクトルが、Microsoft 365アカウントの乗っ取りによる侵害を依然として伴う場合には有効です。

ステップアップ認証と多要素認証 (MFA) の強制、強力なパスワード標準の実施、厳格なIDアクセス制御の維持、そして従業員向けの意識向上トレーニングプログラムへの継続的な投資といった基本的な対策は、見過ごされるべきではありません。

上記の理由により、そのようなリスクを完全に防ぐことは常に困難です。そのため、バージョンバックアップ制限やAutoSave設定の改ざんの警告信号となる可能性のある、異常な管理アクションやデータアクセス要求など、潜在的に脅威となる疑わしい異常値や活動を検出するためのトリガーと異常パラメータを設定してください。

多くのサードパーティアプリケーションは、OAuthトークンを介してSaaSプラットフォーム（この場合はMicrosoft 365など）に接続します。新規ユーザーが環境にログインする場合とは異なり、OAuthトークンは最初の許可後、IDプロバイダーを介して認証する必要がありません。アプリがOAuthを介してMicrosoft 365とそのデータへのアクセスを取得すると、そのアクセスは取り消されるまで無期限に維持されます。このため、Microsoft 365テナンシーにアクセスする疑わしいアプリのトークンとアクセスを必ず取り消してください。

組織は常に「侵害を前提とする」考え方を取り入れ、最悪の事態に備えるべきです。したがって、このような状況では、実績のあるBC/DR復旧手順に加えて、オフラインバックアップも決して悪い考えではありません。