スピアフィッシングキャンペーンに対する Microsoft 365 Defender(for Office 365)での対応について説明紹介されたブログ記事です。
Responding to targeted mail attacks with Microsoft 365 Defender - Microsoft Community Hub
スピアフィッシングは、特定の組織、部門、人物を対象とする標的型メール攻撃です。
フィッシングを「スピア(槍)」にする理由
この攻撃の特徴は、
・ 件名、本文、送信者名をローカル言語にして、ユーザーがフィッシングと識別しにくくする
・ メールのトピックは、請求書や経費報告を財務部門へ送信するなど、受信者の業務に準じる
・ フィッシングメール送信に侵害されたアカウントを使い、電子メールドメイン認証(SPF、DKIM、DMARC)をクリアする
・ バルクメール検出を回避するため、大量の分散メールアドレスを使用
・ 暗号化された ZIP ファイルや CAPTCHA Webページの利用などにより、自動スキャナーの悪意あるコンテンツ判別を困難にする
・ 様々な添付ファイル名を持つポリモーフィック マルウェアで検出とブロックを複雑にする
メールフィルターやトランスポートルールの構成を誤ると、悪意あるメールがユーザーの受信トレイに届き、一部が実行されてしまう可能性があります。
攻撃範囲の理解
適切に対応するため、攻撃範囲を把握する必要があります。
・ 何人のユーザーが影響を受けるか? 共通点はあるか?
・ メールの件名、送信者、添付ファイル名、送信者ドメイン、送信メールサーバーの IPアドレスなど、共通点があるか?
・ 同じ期間内に、他ユーザーへ同様のメールがあるか?
報告された悪意あるメールについて、基本的なハンティングを行う必要があります。
Microsoft 365 Defender(for Office 365)の「脅威エクスプローラ」でフィルターを利用しそれらのメールを見つけます。
また、高度なハンティング機能でクエリ検索することもできます(リンク先参照)
メール配信とフィルタリング設定を確認
攻撃をある程度把握したら、ユーザーの受信トレイへ配信されているのがメールフィルタリングの構成ミスではないか確認します。
カスタム配信ルールを確認
Defender for Office 365 では、脅威エクスプローラやハンティングした電子メールアイテムでエンティティを開き、配信の詳細を表示できます。
疑わしい電子メールとして検出されても、差出人セーフリストで上書きされて配信される可能性もあります。(つまり、なりすましされて)
・ テナント許可/ブロック リスト
・ メールフロールール(トランスポートルール)
・ Outlook 差出人セーフリスト
・ IP 許可一覧(接続フィルタ)
・ 許可された送信者、ドメイン リスト(スパム対策ポリシー)
明らかなマルウェアやフィッシングの場合は、セーフリスト等に関係なく隔離されます。
オンプレミス環境のフィッシングメールヘッダー確認
ハイブリッド Exchange環境の場合、オンプレミスの Exchange が EOP により追加されたフィッシングメールヘッダーを処理するように構成されていない場合があります。
脅威ポリシー設定を確認
脅威ポリシーの「構成アナライザー」を使用し、テナントのメールフィルタリング設定に構成ミスがないか再確認がお勧めです。
ゼロ時間自動消去(ZAP:Zero-hour auto purge)が有効か確認
Exchange Online メールボックスと Microsoft Teams(現在プレビュー中)では、ZAP はすでに配信された悪意あるフィッシング、スパム、マルウェア メッセージを遡及的に検出して処理します。
この設定は、脅威ポリシーの「マルウェア対策」「迷惑メール対策(スパム対策ポリシー)」にあります。
ただし、ZAP はオンプレミスの Exchange メールボックスでは機能しません。
応答ステップの実行
ユーザーの受信トレイに届いている不審なメールを手動で処理します。
偽陰性(false negative)をマイクロソフトへ報告
脅威エクスプローラでは、分析のために Microsoft へ報告するなど対象の電子メールに対するアクションを実行できます。
複数の一括実行や、送信者アドレスを受信拒否リストに追加することもできます。
タイムリーに報告することで分析が追加され、自動検出やブロックに繋がります。
Exchange Online テナント上の、悪意ある送信者/ファイル/URL をブロック
脅威ポリシーの「テナント許可/禁止リスト」で、悪意ある送信者、ファイル、URL をブロック設定できます。