Black Bastaランサムウェア攻撃：貴社がMicrosoft Teamsで安全に共同作業を行うための5つの方法

Suhaas Kodagali 投稿者 - プロダクトマネジメント担当ディレクター

2024年10月28日 4 分で読めます

最近の事例では、Black Bastaランサムウェアグループが、標的ユーザーとの欺瞞的なコミュニケーションチャネルとしてMicrosoft Teamsのチャットメッセージを利用しています。新たなランサムウェア攻撃の波の中で、フィッシング、マルウェアボットネット、ソーシャルエンジニアリングを用いて企業ネットワークに侵入したBlack Bastaグループのメンバーは、現在Microsoft Teamsを利用して企業の機密データにアクセスしています。

このグループは、ITヘルプデスクのスタッフを装ったメールを使い、支援を申し出て、従業員を騙して認証情報を提供させたり、リモートアクセスツールをインストールさせたりしてアクセス権を取得することが知られています。現在、彼らはMicrosoft Teamsで「Help Desk」のような欺瞞的な名前を持つ外部ユーザーアカウントを使用し、ITヘルプデスクの担当者を装っています。不正なEntra IDテナントからの外部アカウントでユーザーをチャットに追加することで、攻撃者はサポート、管理者、またはヘルプデスクのスタッフを装い、誤解を招く表示名を使用して、ユーザーに正規のヘルプデスク担当者とやり取りしていると信じ込ませています。

この出来事は、コラボレーションツールが現代のワークフローに不可欠である一方で、特にゲストユーザーや外部ユーザーが関与する場合に、機密データをサイバー脅威に晒す可能性があることを痛感させます。高度なData Loss Prevention (DLP) 機能を備えたCloud Access Security Broker (CASB) ソリューションを活用することで、不正なやり取りにおける機密コンテンツを特定・削除し、これらのリスクを軽減し、最終的に標的型ランサムウェア攻撃に対する企業データセキュリティを強化することができます。ここでは、CASB主導のDLPポリシーがMicrosoft Teams、SharePoint、OneDrive全体で機密コンテンツを特定・削除し、企業コラボレーションのためのより安全な環境を構築するのにどのように役立つかをご紹介します。

Microsoft TeamsデータセキュリティのためのSkyhigh CASBの主要機能

Skyhigh CASBを使用することで、組織はMicrosoft Teams環境で共有される機密コンテンツとそのコラボレーション方法に対して、きめ細かな制御が可能になります。セキュリティ管理者は、不正ユーザーと共有された機密データを特定・削除するためのData Loss Prevention (DLP) ポリシーを定義できます。また、外部ユーザーとの共有に関するポリシーを適用し、必要に応じて外部ユーザーへのアクセスを取り消すことで、悪意のあるアクターや意図しないデータ共有に関連するリスクを軽減できます。

Skyhigh CASBは、Microsoft Teams、SharePoint、OneDriveとシームレスに統合し、Teamsチャネル、OneDriveファイル、SharePointサイトを含むすべての関連チャネルでDLPおよびコラボレーション制御を監視および適用します。セキュリティ管理者はSkyhighを使用して、複数のレベルでコラボレーション制御を適用できます。

• ドメインベースの共有制御
  外部との共同作業はリスクを伴う一方で、請負業者やパートナーとの連携において貴重な生産性向上ツールとなり得ます。Skyhighのお客様は、セキュリティチームによって承認された正規のパートナー、ベンダー、または請負業者である特定のドメインのみに共有を制限できるドメインベースの共有制御を使用しています。そのため、従業員がこの事前承認リストに含まれていない外部ユーザーをTeamsの会話に招待しようとすると、Skyhighはこの共有リクエストを取り消します。
• Teamsチャネルでの外部ユーザーとの機密データ共有をブロック
  セキュリティ管理者は、Skyhighの制御機能を使用して、機密データの外部ユーザーとの共有をブロックできます。ユーザーが外部ユーザーを含むTeamsチャネルで機密データを共有すると、Skyhighは機密データの存在を検出し、そのチャネルに社外のユーザーがいることを警告し、このデータの共有を取り消します。同じ制御はユーザーレベルでも適用できます。外部ユーザーが機密データを含むTeamsチャネルに追加された場合、Skyhighはその外部ユーザーのアクセスを取り消すことができます。セキュリティ管理者がコラボレーションベースとコンテンツベースの制御を単一のポリシーに統合できるようにすることで、SkyhighはセキュリティチームにTeamsおよびその他のOfficeアプリでのコラボレーションとコンテンツ共有に対するきめ細かな制御を提供します。
• 不正なコラボレーションを遡及的に取り消す
  Skyhighのコンテンツおよびコラボレーションに対する制御は、ほぼリアルタイムで適用され、お客様に高レベルのデータ保護を保証します。しかし、Skyhighはオンデマンドスキャンを使用してこれらの制御を遡及的に適用するオプションもお客様に提供します。これは、新規のSkyhighのお客様が自社のTeams展開が企業のセキュリティポリシーに準拠していることを確認したい場合に役立ちます。お客様は、すべてのTeamsチャネルとチャットに対してコンテンツおよびコラボレーションポリシーを一括で実行し、ポリシー違反があった箇所に必要な修復措置を適用できます。これにより、お客様はTeamsおよびその他のOfficeアプリ内の機密データを完全に保護できます。
• Teamsにおける高度なデータ保護ポリシー
  Teams経由で共有されるデータにコンテンツベースの制御を適用する際、Skyhighはお客様に業界で最も包括的かつきめ細かな制御を提供します。一般的なデータタイプに対する標準的な既成の分類に加え、Skyhighはお客様に構造化データおよび非構造化データのフィンガープリンティングやOCR機能を含む高度なデータ保護制御へのアクセスを提供します。そのため、お客様がスクリーンショットの形で顧客データを外部に持ち出そうとした場合、Skyhighは画像内の既存の構造化データフィンガープリントから顧客データの存在を検出し、このファイルの共有をブロックできます。
• Officeアプリケーション全体でのコラボレーション制御
  コンテンツおよびコラボレーション制御は、Black Bastaグループが使用したデータ持ち出し方法であったため、主にMicrosoft Teamsの文脈で議論されてきました。しかし、Skyhighのコラボレーションおよびコンテンツ制御は、Microsoft SharePoint、OneDrive、Exchangeを含むすべてのOfficeアプリに適用できます。セキュリティチームが単一のアプリケーションにのみ制御を適用することはほとんどありません。通常、制御を定義し、機密性の高い企業データを含むすべてのアプリにそれらを拡張します。そのため、Skyhighは、Teamsチャネル、SharePointサイト、OneDriveファイル、またはMicrosoft Exchange経由で送信されたメールのいずれであっても、データの不正な共有に適用される同じコラボレーション制御を設計しました。

効果的なMicrosoft Teams保護のためのDLPポリシーの設定

Microsoft Teams環境を保護するDLPポリシーを構成するには、管理者は以下の手順に従うことができます。

• 監視が必要な特定の種類の機密データ（例：クレジットカード番号、社会保障番号など）を定義します。
• コラボレーションに関するルールを定義し、承認された外部コラボレーターを特定します。
• 包括的なデータ保護のため、Teams、SharePoint、OneDriveの各インスタンスにコンテンツおよびコラボレーションポリシーを適用します。
• 進化するセキュリティ要件、新しいデータタイプ、およびコラボレーターに合わせて、ポリシーを定期的に見直し、更新します。
• ランサムウェアの脅威に対するセキュリティ体制を強化します。

Microsoft Teamsに対するBlack Bastaランサムウェア攻撃は、企業コラボレーションツールにおける堅牢なデータガバナンスと保護の必要性を浮き彫りにしています。Skyhigh CASBを使用することで、組織は機密情報を確実に管理し、不正ユーザーへの情報漏洩のリスクを最小限に抑え、進化するサイバー脅威の一歩先を行くことができます。

Skyhigh CASBは、Microsoft Teams環境全体でデータを保護し、ランサムウェアグループやその他の悪意のあるアクターから機密情報を保護する上で、信頼できるパートナーです。

ブログへ戻る