Black Bastaランサムウェア攻撃：Microsoft Teamsで安全にコラボレーションするための5つの方法

スハース・コダガリ - プロダクト・マネジメント・ディレクター

2024年10月28日 4 分で読む

最近のインシデントでは、 Black Bastaランサムウェアグループが、Microsoft Teamsのチャットメッセージを標的のユーザーとの 欺瞞的なコミュニケーションチャネルとして使用しています。ランサムウェア攻撃の新たな波として、Black Bastaグループは、そのメンバーがフィッシング、マルウェア・ボットネット、ソーシャル・エンジニアリングを利用して企業ネットワークに侵入しているが、今度はMicrosoft Teamsを利用して企業の企業データにアクセスしようとしている。

このグループは一般的に、ITヘルプデスクのスタッフを装った電子メールを使って支援を申し出、認証情報を提供したりリモートアクセスツールをインストールしたりして従業員を騙してアクセスを許可させることで知られている。現在、彼らは Microsoft Teams の IT ヘルプデスク担当者を装い、"Help Desk "などの欺瞞的な名前の外部ユーザーアカウントを使用しています。攻撃者は、詐称した Entra ID テナントの外部アカウントでユーザーをチャットに追加することで、サポート、管理、またはヘルプデスクのスタッフを装い、誤解を招くような表示名を使用して、正規のヘルプデスク担当者とやり取りしているとユーザーを騙しています。

この出来事は、現代のワークフローに不可欠なコラボレーションツールが、特にゲストユーザーや外部ユーザーが関与している場合、機密データをサイバー脅威にさらす可能性があることを痛感させた。高度な Cloud Access Security Broker(高度なData Loss Prevention （DLP）機能を備えたCASB（CASB）ソリューションを活用することで、未承認のやり取りにおける機密コンテンツを特定して削除することでこうしたリスクを軽減し、最終的には標的型ランサムウェア攻撃に対する企業のデータセキュリティを強化することができます。ここでは、CASB主導のDLPポリシーが、Microsoft Teams、SharePoint、OneDriveの機密コンテンツの特定と削除にどのように役立ち、企業コラボレーションのための安全な環境を構築できるかを紹介します。

Microsoft TeamsデータセキュリティのためのスカイハイCASBの主な機能

Skyhigh CASBを利用することで、企業はMicrosoft Teams環境で共有されるセンシティブコンテンツとそのコラボレーション方法をきめ細かく制御できます。セキュリティ管理者は、Data Loss Prevention (DLP)ポリシーを定義して、権限のないユーザーと共有された機密データを特定し、削除することができます。また、外部ユーザーとの共有に関するポリシーを実施し、必要に応じて外部ユーザーのアクセス権を剥奪することで、悪意のある行為者や不注意によるデータ共有に関連するリスクを軽減することができます。

Skyhigh CASBはMicrosoft Teams、SharePoint、OneDriveとシームレスに統合され、Teamsチャンネル、OneDriveファイル、SharePointサイトなど、関連するすべてのチャンネルでDLPとコラボレーション制御を監視、実施します。セキュリティ管理者は、Skyhighを使用して複数のレベルでコラボレーション制御を実施できます：

• ドメインベースの共有コントロール
  外部とのコラボレーションにはリスクが伴いますが、請負業者やパートナーとの共同作業には貴重な生産性向上ツールとなります。Skyhighのお客様はドメインベースの共有制御を使用しており、セキュリティチームによって承認されたパートナー、ベンダー、請負業者などの特定のドメインのみに共有を制限することができます。そのため、従業員がこの事前承認リストに含まれていない外部ユーザーをTeamsの会話に招待しようとすると、Skyhighはこの共有リクエストを取り消します。
• Teamsチャンネルで外部ユーザーとの機密データ共有をブロック
  セキュリティ管理者は、Skyhighのコントロールを使って、外部ユーザーとの機密データ共有をブロックできます。ユーザーが社外ユーザーのいるTeamsチャンネルで機密データを共有すると、Skyhighは機密データの存在を検知し、チャンネルに社外ユーザーがいることをフラグし、このデータの共有を取り消します。同じコントロールをユーザーレベルでも適用できます。機密データを含むTeamsチャンネルに社外ユーザーが追加された場合、Skyhighはその社外ユーザーのアクセスを取り消すことができます。セキュリティ管理者がコラボレーションベースのコントロールとコンテンツベースのコントロールを単一のポリシーに統合できるようにすることで、SkyhighはセキュリティチームがTeamsやその他のOfficeアプリでのコラボレーションやコンテンツ共有をきめ細かくコントロールできるようにします。
• 承認されていないコラボレーションを遡及的に取り消す
  Skyhighのコンテンツとコラボレーションのコントロールは、ほぼリアルタイムで実施されるため、お客様のデータ保護は高いレベルに保たれます。しかし、Skyhighでは、オンデマンドスキャンを使用して、これらの制御を遡及的に実施するオプションも提供しています。これは、Skyhighの新規顧客がTeamsの導入が会社のセキュリティポリシーに合致していることを確認したい場合に便利です。Teamsのすべてのチャンネルとチャットにコンテンツとコラボレーションのポリシーを一括して適用し、ポリシーに違反した場合に必要な是正措置を適用することができます。これにより、Teamsやその他のオフィスアプリ内の機密データを完全に保護することができます。
• Teamsの高度なデータ保護ポリシー
  Skyhighは、Teams経由で共有されるデータにコンテンツベースの制御を適用する際、業界で最も包括的できめ細かな制御をお客様に提供します。Skyhighは、一般的なデータタイプの標準的な分類に加え、構造化/非構造化フィンガープリンティングやOCR機能など、高度なデータ保護コントロールへのアクセスを提供します。そのため、顧客がスクリーンショットの形で顧客データを流出させようとした場合、Skyhighは画像内の既存の構造化データフィンガープリントから顧客データの存在を検出し、このファイルの共有をブロックすることができます。
• Officeアプリケーションのコラボレーション・コントロール
  コンテンツとコラボレーションのコントロールは、Black Bastaグループが使用した流出方法であるMicrosoft Teamsの文脈で主に議論されてきました。しかし、Skyhighのコラボレーションとコンテンツコントロールは、Microsoft SharePoint、OneDrive、Exchangeを含むすべてのOfficeアプリケーションに適用できます。セキュリティチームは、1つのアプリケーションにのみコントロールを適用しようとすることはほとんどありません。通常はコントロールを定義し、企業の機密データを含むすべてのアプリケーションに適用します。そこでスカイハイは、Teamsチャンネル、SharePointサイト、OneDriveファイル、Microsoft Exchange経由で送信されたメールのいずれであっても、不正なデータ共有に適用される同じコラボレーション制御を設計しました。

効果的なMicrosoft Teams保護のためのDLPポリシーの設定

Microsoft Teams環境を保護するDLPポリシーを設定するには、管理者は以下の手順に従います：

• 監視が必要な特定の種類の機密データ（クレジットカード番号、社会保障番号など）を定義する。
• コラボレーションに関するルールを定義し、認可された外部コラボレーターを定義する。
• Teams、SharePoint、OneDriveインスタンス全体にコンテンツおよびコラボレーションポリシーを適用し、包括的なデータカバレッジを実現します。
• 進化するセキュリティ要件、新しいデータタイプ、協力者に合わせて、ポリシーを定期的に見直し、更新する。
• ランサムウェアの脅威に対するセキュリティ体制を強化しましょう。

Microsoft Teamsに対するBlack Bastaランサムウェア攻撃は、企業のコラボレーションツールにおける強固なデータガバナンスと保護の必要性を強調しています。Skyhigh CASBを利用することで、企業は機密情報を確実に管理し、不正ユーザーにさらされるリスクを最小限に抑え、進化するサイバー脅威に先手を打つことができます。

Skyhigh CASBは、Microsoft Teams環境全体のデータを保護する信頼できるパートナーであり、ランサムウェアグループやその他の悪意のある行為者から機密情報を保護するお手伝いをします。

ブログへ戻る