tos-akibaのブログ

主に Microsoft 365 Security について

発見された Zerobot の新しい機能

Microsoft Defender for IoT の研究チームは、Zerobot(ZeroStresser とも呼ばれる)を数か月監視しており、マルウェアの最新バージョンである Zerobot 1.1 に関して新たな機能を特定しました。
Microsoft research uncovers new Zerobot capabilities - Microsoft Security Blog

 

ボットネットマルウェアは絶えず進化する脅威であり、最近の傾向ではオペレーターが既存のボットネットを変更して運用拡張しています。
Zerobot は主に IoT や Webアプリケーションの脆弱性を介して拡散するボットネットで、進化する脅威の一例です。
研究チームによると、Zerobot はサービススキームとしてのマルウェアの一部として提供され、Zerobot へのリンクを持つ1つのドメインは、2022年12月に FBI により押収された DDos レンタルサービスに関連するドメインの1つでした。

 

Zerobot は、Firewallバイスルーター、カメラなどのデバイスに影響し、侵害されたデバイスを DDos ボットネットに追加します。マルウェアはいくつかのモジュールを使用して脆弱なデバイスに感染します。
マイクロソフトでは、これを DEV-1061 として追跡しています。
Zerobot の最新ディストリビューションでは、ApacheApache Spark の脆弱性の悪用機能や新しい DDos攻撃機能が含まれています。

 

Zerobot は、デフォルトや弱い資格情報を使用する脆弱なデバイスに対してブルートフォース攻撃を介して伝播します。
Zerobot 1.1 には追加の DDos攻撃機能があり、標的のリソースにアクセスできないようにすることができるため、脅威アクターは身代金を要求したり、他の攻撃から注意をそらしたりします。

 

マイクロソフトは包括的なセキュリティ対策実装を推奨しており、Endpoint、ID、メール、アプリ、データ にわたる統合防御を提供する Microsoft 365 Defender および、IoT や OT デバイスの監視と脅威検出する Microsoft Defender for IoT をおススメしています。

また、上記リンク先のブログ投稿では、Microsoft 365 Defender での高度なハンティングクエリや Zerobot のハッシュ値も掲載しています。

 

重要インフラへのリスク増大

マイクロソフトから Cyber Signals の第3版がリリースされたことが紹介されています。
New Cyber Signals report from Microsoft - Microsoft Security Blog


これは IoT、OT に関して、マイクロソフトの毎日 43兆のセキュリティシグナルと 8,500人のセキュリティ専門家から収集されたセキュリティ傾向と洞察について述べられています。
OT は、例えばビル管理システムや火災制御システムなど物理環境と相互作用するデバイス管理などを指します。
マイクロソフトは、OTネットワークで最も一般的な産業用コントローラーの 75% でパッチ適用されていない重大度の高い脆弱性を特定したとしています。
IoT デバイスも 2025年までに 410億台を越えると見込まれているそうです。

このような IoT、OT についても攻撃対象となるリスクは増大しており、それらの脅威に対処するには、IT、OT、IoT デバイスや重要なデータ、リソースの可視化が必要であると強調されています。
また、ゼロトラスト モデルに基づく IoT のセキュリティ保護は、ID と デバイスのセキュリティ保護とアクセス制限の基本事項を確実に実装する所から、と述べられています。

 

より詳細な解説についてはこちら。
The convergence of IT and OT | Security Insider

 

年末年始に向けた情報セキュリティ注意喚起

今年も年末年始に向けて情報セキュリティに関する注意喚起が出されています。

IPA からの注意喚起:
年末年始における情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構

経済産業省からの注意喚起:
年末年始休暇において実施いただきたい対策について注意喚起を行います (METI/経済産業省)

 

11月頃には再び Emotet の攻撃メール配信が観測されたこともあり、不用意に不振なメールの添付を開いたり、公的機関を名乗る不審なメールに騙されないよう、特に休暇明けに溜まったメールを開く際には注意するように促されています。
またモバイル端末でも不審なアプリのインストールに誘導されないよう、注意喚起されています。
サイバー攻撃の入り口であるフィッシング等を踏まないよう注意しましょう。

 

セキュアなゲストアカウント管理

マイクロソフト主催のワークショップに参加した内容からのご紹介です。(ご了承を得ています)
テーマは「Azure AD で実現するセキュアなゲストアカウント管理」です。

ストアカウントもゼロトラストの3つの原則に則り、常に認証と承認を行うこと、最小限の権限付与とすること、侵害される想定を前提にすること、が重要です。

 

ゲストユーザーのアカウントは、自組織内のアカウントよりも管理が行き届いていないことはありませんか?
実際は必要なくなったのに、削除されずに放置されたままのケースも多いようです。
適切なユーザーに適切なアクセス権を付与し、必要な期間のみ許可するようガバナンスを強化する機能が Azure AD からは提供されています。

 

ここで話題に上げるゲストアカウントとは、左上の External Guest(外部ゲスト)を指します。これは、Azure AD の自テナント外にアカウントを有し一般的な「外部ユーザー」と定義されるものです。

 

外部ユーザーのテナント間のアクセス状況を確認するには、Azure Active Directory の監視の Workbooks で確認できます。こちらは、Log Analytics ワークスペースの連携設定が必要です。
Azure AD 内のテナント間アクセス アクティビティ ブック - Microsoft Entra | Microsoft Learn

 

ストアカウントのライフサイクルは、招待、アクセス制御、棚卸し、削除、のステップになります。それぞれのフェーズにおいて、Azure AD では適切な管理を可能にする各機能が提供されています。詳細についてはまた別途。

 

マイクロソフトは 2022 Q4 セキュリティ分析プラットフォームのリーダーに選出

マイクロソフトは、Forrester Wave の Security Analytics Platforms, 2022 Q4 でリーダーに選ばれました。Splunk に次ぐ位置づけにあります。
Forrester names Microsoft a Leader in Q4 2022 Security Analytics Platforms Wave report - Microsoft Security Blog

 

マイクロソフトは、クラウドネイティブである SIEM ソリューションのMicrosoft Sentinel、セキュリティ調査、脅威インテリジェンスへの継続的な投資が評価されたとしています。

また、脅威をより迅速に特定、調査、修復できる重要な機能を挙げています。

  • Kusto クエリ言語(KQL)の使用、または機械学習の導入で独自ルールを作成できる柔軟性を提供。
    これにより、SOC チームのタスク時間を短縮。
  • 包括的な脅威インテリジェンス、進化する脅威状況に対応
  • 大量データの大規模な検索
    すべてのクラウド、プラットフォーム、エンドポイントを1か所で監視

Microsoft Sentinel は、マルチクラウドマルチプラットフォーム全体のセキュリティデータを収集する次世代 SIEM ソリューションであり、Microsoft Defender 製品とネイティブに統合することで、SIEM + XDR(拡張検出と対応)を提供しています。

マイクロソフトは今後も継続的な投資により、より多くの脅威インテリジェンス統合、大規模なデータセット捜索、アラートの優先順位付けガイダンスの強化など、機能強化を進めるとしています。

 

Forrester や Gartner など、業界アナリストのマイクロソフト評価については、以下にインデックスがまとめられています。
業界に認められたサイバーセキュリティのリーダー | Microsoft Security

 

 

サインインの企業ブランディング強化

Azure AD の企業ブランディング機能がより細かく制御できるよう強化され、パブリックプレビューされました。サインイン画面やパスワードリセットの表示などをカスタマイズできるようになります。
Introducing enhanced company branding for sign-in experiences in Azure AD - Microsoft Community Hub

 

===<2023/1/5 追記>===
日本語ブログの情報です。
Azure AD における新しい "会社のブランド" 機能の紹介 | Japan Azure Identity Support Blog

==================

 

  • レイアウトの構成
  • セルフサービス パスワードリセット のリンク表示
  • フッターのプライバシーと Cookie利用規約のテキスト表示と URL 編集
  • ヘッダーの表示ロゴ変更
  • ファビコン(ブラウザータブのアイコン)の設定

 

例えば、これが、

こんな感じに。
レイアウト以外はちょっと判りにくいですが、左上のカスタムロゴ、パスワードリセット表示の変更しました。

 

設定は、Azure AD の「会社のブランド」メニューで「編集」します。

 

(参考)

会社のサインイン ページに会社のブランドを追加する (プレビュー) - Azure AD - Microsoft Entra | Microsoft Learn

 

国防総省のゼロトラスト戦略をサポートするマイクロソフト

米国国防総省DoD)では正式なゼロトラスト戦略を発表し、2027年までに全体的な実装を達成するという目標を掲げました。こちらは 11月後半のブログ記事です。
How Microsoft implements the DoD's Zero Trust strategy - Microsoft Security Blog

 

Microsoft Digital Defense Report 2022 によると、米国政府のネットワークは、世界で発生する国家攻撃のほぼ半分に直面し続けています。
2022年7月に、ゼロトラスト リファレンスアーキテクチャ v2.0 をリリースしています。

マイクロソフトは、主要なクラウドサービスプロバイダーおよびセキュリティ企業の両面からサポートし、統合されたセキュリティツールで、国防総省の7つの柱とゼロトラストの 45 の機能にわたる包括的なカバレッジを提供するとしています。

また、大手セキュリティ企業の 90以上のパートナーゼロトラストソリューションとのオープンエコシステムにより、さらに強化されるとしており、Tenable の脆弱性評価や、Yubico のセキュリティキーなども挙げています。