tos-akibaのブログ

主に Microsoft 365 Security について

Microsoft 365 Defender の標的型メール攻撃への対応

スピアフィッシングキャンペーンに対する Microsoft 365 Defender(for Office 365)での対応について説明紹介されたブログ記事です。
Responding to targeted mail attacks with Microsoft 365 Defender - Microsoft Community Hub

 

スピアフィッシングは、特定の組織、部門、人物を対象とする標的型メール攻撃です。

フィッシングを「スピア(槍)」にする理由
この攻撃の特徴は、
・ 件名、本文、送信者名をローカル言語にして、ユーザーがフィッシングと識別しにくくする
・ メールのトピックは、請求書や経費報告を財務部門へ送信するなど、受信者の業務に準じる
フィッシングメール送信に侵害されたアカウントを使い、電子メールドメイン認証(SPFDKIM、DMARC)をクリアする
・ バルクメール検出を回避するため、大量の分散メールアドレスを使用
・ 暗号化された ZIP ファイルや CAPTCHA Webページの利用などにより、自動スキャナーの悪意あるコンテンツ判別を困難にする
・ 様々な添付ファイル名を持つポリモーフィック マルウェアで検出とブロックを複雑にする

メールフィルターやトランスポートルールの構成を誤ると、悪意あるメールがユーザーの受信トレイに届き、一部が実行されてしまう可能性があります。

 

攻撃範囲の理解
適切に対応するため、攻撃範囲を把握する必要があります。
・ 何人のユーザーが影響を受けるか? 共通点はあるか?
・ メールの件名、送信者、添付ファイル名、送信者ドメイン、送信メールサーバーの IPアドレスなど、共通点があるか?
・ 同じ期間内に、他ユーザーへ同様のメールがあるか?

報告された悪意あるメールについて、基本的なハンティングを行う必要があります。
Microsoft 365 Defender(for Office 365)の「脅威エクスプローラ」でフィルターを利用しそれらのメールを見つけます。

また、高度なハンティング機能でクエリ検索することもできます(リンク先参照)

 

メール配信とフィルタリング設定を確認
攻撃をある程度把握したら、ユーザーの受信トレイへ配信されているのがメールフィルタリングの構成ミスではないか確認します。

カスタム配信ルールを確認
Defender for Office 365 では、脅威エクスプローラやハンティングした電子メールアイテムでエンティティを開き、配信の詳細を表示できます。

疑わしい電子メールとして検出されても、差出人セーフリストで上書きされて配信される可能性もあります。(つまり、なりすましされて)
 ・ テナント許可/ブロック リスト
 ・ メールフロールール(トランスポートルール)
 ・ Outlook 差出人セーフリスト
 ・ IP 許可一覧(接続フィルタ)
 ・ 許可された送信者、ドメイン リスト(スパム対策ポリシー)
明らかなマルウェアやフィッシングの場合は、セーフリスト等に関係なく隔離されます。

 

オンプレミス環境のフィッシングメールヘッダー確認
ハイブリッド Exchange環境の場合、オンプレミスの Exchange が EOP により追加されたフィッシングメールヘッダーを処理するように構成されていない場合があります。

 

脅威ポリシー設定を確認
脅威ポリシーの「構成アナライザー」を使用し、テナントのメールフィルタリング設定に構成ミスがないか再確認がお勧めです。

 

ゼロ時間自動消去(ZAP:Zero-hour auto purge)が有効か確認
Exchange Online メールボックスMicrosoft Teams(現在プレビュー中)では、ZAP はすでに配信された悪意あるフィッシング、スパム、マルウェア メッセージを遡及的に検出して処理します。
この設定は、脅威ポリシーの「マルウェア対策」「迷惑メール対策(スパム対策ポリシー)」にあります。
ただし、ZAP はオンプレミスの Exchange メールボックスでは機能しません。

 

応答ステップの実行
ユーザーの受信トレイに届いている不審なメールを手動で処理します。

偽陰性(false negative)をマイクロソフトへ報告
脅威エクスプローラでは、分析のために Microsoft へ報告するなど対象の電子メールに対するアクションを実行できます。

複数の一括実行や、送信者アドレスを受信拒否リストに追加することもできます。
イムリーに報告することで分析が追加され、自動検出やブロックに繋がります。

Exchange Online テナント上の、悪意ある送信者/ファイル/URL をブロック
脅威ポリシーの「テナント許可/禁止リスト」で、悪意ある送信者、ファイル、URL をブロック設定できます。