日曜日, 11月 27, 2022
ホームデータ保護フィッシング被害に遭ってしまったら。Exchange 365 での注意事項

フィッシング被害に遭ってしまったら。Exchange 365 での注意事項

フィッシングは、データ漏洩につながる攻撃の中でも 2 番目に被害額の大きな攻撃となっています。フィッシング関連のリスクを抑制し、被害を食い止めるには戦略的なインシデント対応手順が欠かせません。 

それでは、Exchange 365 でフィッシングの被害に遭った際はどうすれば良いのでしょうか。インシデント対応計画を策定されている方や、実際に攻撃を受けたときのガイダンスをお探しの方はぜひこの記事をご一読ください。 

フィッシング攻撃は複雑化の一途をたどっており、感染の見極めが困難になっています (感染に関して注意が必要な兆候については、Microsoft のドキュメントをご確認ください)。 

攻撃の疑いがある初期段階でも、攻撃の検証中でも、即座に行動に移すことができれば、お客様やお客様の組織の被害を抑えることができます。 

フィッシング攻撃を受けてしまったら 

マルウェアの攻撃を受けた場合、一刻も早く環境をクリーンアップし、セキュリティを確保することが大切です。 

攻撃者がデータや認証情報を制御できる時間が長くなるほど、(アクセスするデータの種類にもよりますが) データの損失や身代金額の増加、感染拡大といったリスクが高まります。 

感染の疑いがある場合は、即座に以下の手順を実施することが肝要です。 

ユーザーとして攻撃を受けた場合 – 一人のユーザーが受けたフィッシング攻撃が、組織全体に影響を及ぼしうることを理解する必要があります。このとき、自分だけで解決しようとしてはいけません。たとえその方が良いように思えても、悪い結果につながるおそれがあります。 

※この記事は、米国 AvePoint で 2022 年 3 月 21 日付で公開された記事 “Phished? What To Do (and What Not To Do) in Exchange 365” を日本語編訳したものです。

phishing

ベストプラクティスは、攻撃 (または攻撃の疑い) について経営陣に迅速に知らせ、侵害リスクを最小限に抑える適切な対策を実行することです。 

また、フィッシングの被害をさらに拡大させないため、あなたのアカウントが侵害された (または侵害されたおそれがある) ことを、必ず同僚に伝えてください。 

管理者として攻撃を受けた場合 - 重要なのが、マルウェアを封じ込め、Exchange 365 のメール アカウントおよび接続されたアプリの制御を取り戻した上で、損失したデータを復元することです。以下に、制御を取り戻すために必要な手順をご紹介します。 

①メールへのアクセスを取り戻す

まずはデータの漏洩や盗難、削除の原因となる不正行為がこれ以上行われないように、以下の手順を実施して望ましくないアクセスを排除し、ブロックする必要があります。 

  1. ユーザーのパスワードをリセットします新しいパスワードは強力かつ複雑な (小文字、大文字、数字、特殊文字を含む) ものを設定し、確実に保護してください。これはメール アカウントの制御を取り戻すための第一段階です。新しいパスワードは、対象ユーザーのメールに送信しないでください 
  2. 不審なメールの転送先を削除しますこれにより、正当かつ信頼できるアカウントのみにメールの送信が許可されるようになります。アドレスを削除すると、そのアカウントは侵害されたアカウントから転送されたメールを受信できなくなります。 
  3. 受信トレイの不審なルールを無効化しますこれにより、アカウントを修復するにあたって別のアカウントにメールが自動転送されるといった自動操作が行われないようにします。 
  4. ユーザーのメール送信に関するブロックを解除します。攻撃者がこのメール アカウントを使用してスパム メールを送信した場合、マイクロソフトによって受信トレイが自動的に制限付きユーザーとしてタグ付けされ、それ以降のメッセージ送信が許可されなくなります。 
  5. ユーザー アカウントのサインインをブロックします。望ましくないアクセスが無くなり、アカウントの安全性が確保されるまでアカウントへのサインインの試行をブロックし続けます。
  6. 他のアカウントに対する不要な制御が行われないように、アカウント管理者のロールを削除します。削除は以下で実行できます。 

②連携しているアプリを確認する

Exchange Online は Microsoft 365 の他のツールと緊密に連携しています。アプリやデバイス間で同期するため、この分野でも制御を取り戻す必要があります。 

データ暗号化の拡散を抑制するのに役立つのが、同期や更新の停止です。これは以下のようにして実施します。 

③ウイルス対策スキャンを実行する

ここまでの手順で受信トレイへのアクセスは停止しました。次にウイルス対策のフル スキャンを実行して、疑わしいコンピューターおよびデバイス (データを同期するデバイスを含む) の確認を行います。 

マルウェアの検出と駆除には、マイクロソフトが提供している以下の 2 つのネイティブ ツールが利用可能です。 

④ファイルとメールを復元する

マルウェアのペイロードや望ましくないアクセスに対し、環境の安全性が確保されたことが確認できた場合は、暗号化や削除されたデータの復元に進むことができます。 

バックアップのバージョンの安全が確保されていれば、次のソリューションを使用できます。 

  • Windows11、Windows 10、Windows8.1 のファイル履歴でローカル ファイルおよびフォルダの復元を試みます。 

たとえメールがすべて削除されている場合でも、このプロセスで削除された項目を復元できる場合があります。 

また、サードパーティのバックアップ ソリューションがある場合は、そのソリューションを使ってファイルやメールのデータを復元します。 

sharepoint recycle bin

⑤アクセスを再開し、再び同期を有効化する

最後に、ユーザーのサインインのブロックを解除し、管理者のロールを再び割り当てて、Exchange ActiveSync と OneDrive の同期を再び有効化します。 

⑥マイクロソフトに報告する

ベスト プラクティスとして、マイクロソフトにメールや添付ファイル、ファイルを送信して攻撃を報告することをお勧めします。こういった報告は、マイクロソフトによるメール フィルターの改善と再発防止につながります。こちらの手順をご確認ください。 

将来に向けて 

データ漏洩やランサムウェアの被害額は増加の一途をたどっており、その中でデータやユーザー、組織全体をクラウドにおけるリスクから保護するため、クラウド セキュリティが重要なビジネス ニーズになっています。 

だからこそ、適切なインシデント対応策の導入だけでなく、リスク軽減やプロセス改善につながるツールを活用し、この種のマルウェアをできるかぎり簡単かつ早期に検知して駆除することが大切です。 

ここからはセキュリティを強化し、万が一の (再発した) 場合でも容易に復旧できるように支援するツールをご紹介します。 

  • Microsoft 365 Defender 自動調査と応答 (AIR):  侵害されたアカウントを迅速かつ自動で検出するほか、自動的に侵害範囲を制限し、脆弱性がある場合は侵害されたユーザー アラートを通じて効果的な対応措置を講じることでセキュリティ機能を強化します。 
  • Exchange Online Protectionフィッシング対策保護: スプーフィング インテリジェンス分析などの機能で、なりすましの送信者を外部および内部ドメインで検出してブロックし、検出後の自動対応アクションを設定できます。 

phishing

  • Microsoft Defender による Microsoft 365 の追加のフィッシング対策 
    • キャンペーン ビュー: サービスや組織全体の関連メッセージを特定および分析し、機械学習などのヒューリスティックで協調型のフィッシング攻撃を検知します 
    • 攻撃シミュレーション トレーニング: 偽のフィッシング メッセージを作成して社内ユーザーに送信することで、フィッシング攻撃に対するユーザーの意識と準備状況を評価するためのトレーニング リソースです 
  • サードパーティのバックアップ ソリューション: 侵害されたデータや削除されたデータを簡単に復元でき、安全なデータバンクの確立に貢献します。例えば AvePoint Cloud Backup は毎日 4 回のバックアップを行い、データの最新コピーを複数確保しておくことで、さまざまなデータ損失のリスクがある環境でも事業継続性の維持に貢献します。 

この記事でご紹介したソリューションと Microsoft セキュリティのベスト プラクティスに従うことで、お客様やお客様の組織、ユーザーが、増加の一途をたどるフィッシング攻撃に対してより優れた準備と保護を行えるようになります。 

また、4月21日開催の日本マイクロソフト・日本ビジネスシステムズ共催ウェビナー「躍進する Microsoft 365 と押さえておくべきセキュリティ & バックアップ」では、組織をランサムウェア攻撃からより適切に保護する方法および AvePoint がお助けできる可能性を紹介します。是非ご参加ください。 

フィッシング攻撃に関するコンテンツを見逃さないように、ぜひブログにご登録ください。 

人気の記事