最近のフィッシング攻撃の研究では、以下のような URL リンクを利用した新たな攻撃の傾向が確認されています。
・ ユーザーがクリックすると、悪意のある添付ファイルをダウンロードする URL
・ セキュリティフィルターをバイパスするため、複数のリダイレクトする URL
・ 配信時はクリーンな URL だが、配信後に遅延してから武器化される URL
これらに対する保護強化のため、Microsoft Defender for Office 365(MDO)では、電子メールで送信される URL を介した脅威に対する2つの機能強化が公表されました。
Enhanced threat detection with URL click alerts by Microsoft Defender for Office 365 - Microsoft Community Hub
1つは、悪意の可能性がある URL クリックの検出で、ユーザーが複数の URL を含む電子メールを受信し、配信時はクリーンで後で武器化されるような URL であっても、ユーザーがクリックすると MDO は URL をスキャンし、過去に関連付けられている攻撃があった場合は、その URL を「Bad」と評価してそのメールを悪意あるものとマークし、「悪意の可能性がある URL クリックが検出された」とアラート通知します。
また、以前に特定された脅威がなかった場合でも、2つのケースが考えられており、URL がスキャン、検証されます。
a) 最初のユーザーのファーストクリック
複数ユーザーに電子メールが送信され、user1 がクリックしたスキャンで URL が悪意あるものと検出された場合、user1 に対して1つのアラートが生成され、以後別のユーザーが同じ URL をクリックした場合は同様のアラートが生成されます。
b) URL 武器化の遅延
同じ URL の電子メールが複数人に送られ、時間経過した後に攻撃者が URL を武器化した場合、その後にクリックしたユーザーのスキャンで脅威が検出されると、「潜在的に悪意のある URL クリックが検出された」とアラート通知し、同時に 48時間を遡って同じ URL をクリックしたユーザーを探して同様のアラートを生成し、その全てのクリックをセキュリティ担当者へ通知します。
2つ目は、ユーザーが(警告をスルーして)潜在的に悪意のある URL をクリックした場合です。
SafeLink のポリシーでクリックスルーが許可されている場合、悪意の可能性がある URL を検出して警告ページが表示されても、ユーザーはクリックスルーして URL にアクセスするオプションがあります。
それらの場合に、「ユーザーが潜在的に悪意ある URL をクリックした」というアラートがセキュリティ担当者へ警告されます。
