GIGAスクールセキュリティ対策ハンドブック(セキュリティ侵害の検知編) | Microsoft 365 第1版

はじめに

「最近外部からアカウント漏洩しているのではないかと問い合わせを受けたのですが、Microsoft 365 ではどのように調査すればよいですか？」といった質問を受けることが多くなりました。

本書では、米国 CISA (Cybersecurity & Infrastructure Security Agency) が2020年に出した注意喚起の内容を確認するとともに、児童生徒のアカウントの健全性を保つために Microsoft 365 でどのようにセキュリティ侵害を検知するのか といった方法について解説します。

児童生徒たちのクラウドサービスのアカウントはハッカーに狙われています

新型コロナウィルスの蔓延により、また日本ではGIGAスクール構想も相まって子どもが否応なくネットに触れるようになりました。これまでの心配事は子供たちが害悪のあるサイトへのアクセスすることや視力低下やいじめなどがありましたが、それにハッカーが加わったみたいです。

「子どもにハッカーって…」と思われるかもしれませんが、米政府は学校の通信教育プログラムをハッカーが狙っていると警告する声明を2020年に発表^※1 しました。CISA (Cybersecurity & Infrastructure Security Agency)　によれば、警戒すべきは大学だけに限らず 小・中学校、高等学校もハッカーのターゲットにされていると述べています。また、こういった動きは今後続くてあろうとも CISA は伝えています。まず、米国政府が出した注意喚起の内容を確認してみましょう。

※1 の日本語抄訳

注意喚起 (AA20-345A)

サイバー攻撃者はK-12遠隔教育機関を標的とし、混乱を招きデータを盗む
当初の発表日：2020年12月10日

概要

本サイバーセキュリティ勧告は、連邦捜査局（FBI）、サイバーセキュリティおよびインフラセキュリティ局（CISA）、および複数州情報共有・分析センター（MS-ISAC）の共同作成によるものです。

FBI、CISA、MS-ISAC は、悪意のあるサイバー行為者が幼稚園から12年生までの教育機関を標的にし、ランサムウェア攻撃、データの盗難、遠隔学習サービスの中断を引き起こしていると評価しています。サイバー攻撃者は学校を格好の標的とみなしているようで、この種の攻撃は2020/2021年度も続くと予想されます。これらの問題は、リソースの制限に直面している幼稚園から高校までの学校にとって特に困難であるため、教育指導者、情報技術者、セキュリティ担当者は、サイバーセキュリティへの投資を決定する際にこのリスクのバランスを取る必要があります。

本レポートの PDF 版はこちらをご覧ください。

技術的な詳細

2020年12月現在、FBI、CISA、MS-ISACは、K-12 教育機関から、サイバーアクターによる遠隔教育の取り組みの妨害に関する報告を受け続けています。

ランサムウェア

FBI、CISA、MS-ISACは、K-12 教育機関に対するランサムウェア攻撃の報告を多数受けています。これらの攻撃では、悪意のあるサイバーアクターが学校のコンピュータシステムを狙い、アクセス速度を低下させ、場合によっては遠隔学習を含む基本的な機能にアクセスできないようにします。ランサムウェアは、これまで企業や産業界で利用されてきた手法を採用し、身代金を支払わない限り、学生の機密データを盗み出し、一般に公開すると脅しています。

MS-ISAC のデータによると、2020年度の初めに、幼稚園から高校までの学校に対して報告されたランサムウェアのインシデントの割合が増加しました。8月と9月には、MS-ISACに報告されたランサムウェアインシデントの57%がK-12校を対象としており、1月から7月までの全報告ランサムウェアの28%に比べ、その割合は高くなっています。

オープンソース情報およびMS-ISACに寄せられた被害者や第三者によるインシデント報告に基づいて、2020年1月から9月の間にK-12学校を標的としたインシデントで確認された最も一般的なランサムウェア亜種は、Ryuk、Maze、Nefilim、AKO、Sodinokibi/Revil の5つです。

マルウェア

図1は、過去1年間（2020年9月まで）に州、地方、部族、準州（SLTT）の教育機関に影響を与えたマルウェア上位10種を特定したものです。
注：これらのマルウェア亜種は、教育機関だけでなく、他の組織にも影響を与えるため、純粋に日和見的なものです。

ZeuSとShlayerは、K-12学校に影響を与える最も一般的なマルウェアの1つです。

• ZeuSは、Microsoft Windows オペレーティングシステムを標的とした、複数の亜種を持つトロイの木馬です。サイバー攻撃者は、ZeuS を使用して標的のマシンに感染し、盗んだ情報をコマンド＆コントロール・サーバに送信します。
• Shlayerは、MacOS マルウェアのトロイの木馬ダウンローダーおよびドロッパーです。主に、悪意のあるWebサイト、ハイジャックされたドメイン、偽 のAdobe Flash アップデーターを装った悪意のある広告を通じて配布されます。注：トップ10のうち、MacOS を標的とするマルウェアは Shlayer のみで、他の9つは Microsoft Windows オペレーティングシステムに影響を与えます。

分散型サービス妨害（DOS）攻撃

サイバー攻撃者は、分散型サービス妨害（DDoS）攻撃により、遠隔学習をサポートするサードパーティーのサービスを含む、幼稚園から高校までの教育機関に障害を与え、ユーザーの日常業務を一時的に制限したり、妨げたりしています。DDoS攻撃は、ユーザーの日常業務を一時的に制限したり、停止させたりするものです。DDoS 攻撃代行サービスの利用が可能になったことで、やる気のある悪意のあるサイバー行為者は、経験レベルにかかわらず、破壊的な攻撃を行う機会を得ることができるようになりました。注：DDoS攻撃は、多くの異なるソースから発信される高レベルのインターネットトラフィックでサーバーを圧倒するため、単一のソースで軽減することは不可能です。

ビデオ会議の妨害

2020年3月以降、FBI、CISA、MS-ISAC に寄せられた多数の報告によると、招かれざるユーザーがビデオ会議のライブ授業セッションを妨害していることが判明しています。これらの妨害行為には、生徒や教師への言葉による嫌がらせ、ポルノや暴力的な画像の表示、会議プラットフォームの Doxing（注：Doxingとは、インターネット上で個人に関する個人情報をまとめたり公開する行為で、通常は悪意を持って行われる）などがあります。教室のセッションに入るため、招待されていないユーザーが観察されています。

• 生徒の名前を使い、ホストを騙して授業に参加させる。
• 一般に公開されているリンクや外部ユーザーと共有されたリンクから会議にアクセスする（例：学生がリンクやパスワードを友人と共有する）。

適切な管理措置のないビデオ会議セッションは、教室での会話を中断または危険にさらし、機密情報を暴露する危険性があります。

その他のリスクと脆弱性

最近、FBI、CISA、MS-ISAC から遠隔教育の混乱に関する報告があったほか、悪意のあるサイバーアクターは、進化する遠隔教育環境を悪用する機会を求め続けることが予想されます。

ソーシャル・エンジニアリング

サイバー攻撃者は、学生、保護者、教員、IT担当者、その他遠隔教育に携わる個人に対して、ソーシャル・エンジニアリングの手法を適用する可能性があります。フィッシングなどの手口は、被害者を騙して個人情報（パスワードや銀行口座情報など）を開示させたり、タスク（リンクのクリックなど）を実行させたりするものです。このような場合、被害者は、以下のような正規の電子メールを受け取る可能性があります。

• 個人を特定できる情報（PII）（例：フルネーム、生年月日、学生証）を要求する。
• パスワードや暗証番号を確認するように指示する。
• サイバー行為者によって侵害されたウェブサイトを訪問するよう受信者に指示するもの、または
• マルウェアを含む添付ファイルがある。

また、サイバー攻撃者は、正規の Web サイトに類似したWebドメインを登録し、URL の入力ミスや類似したURLをクリックした個人を捕捉しようとします。このような攻撃は、ドメインスプーフィングまたはホモグラフ攻撃と呼ばれます。例えば、「www.cottoncandyschool.edu」にアクセスしようとするユーザーが、誤って「www.cottencandyschool.edu」（「o」を「e」に変更）や「www.cottoncandyschoo1.edu」（「l」を数字の「1」に変更）をクリックしてしまうことがあります（注：これは、ユーザーがウェブサイトの URL の微妙な変化に気付かずに誤ってクリックしてアクセスしてしまうことを示すための架空の例です）。被害者は、自分が正規のウェブサイトを利用していると思い込んでいるが、実際はサイバーアクターが管理するサイトを訪れていることになる。

テクノロジーの脆弱性と生徒データ

サイバー攻撃者は、ランサムウェア攻撃の担保として、あるいはダークウェブで販売するために、学校や教育工学（Edtech）サービスにおける生徒情報の豊富なデータ環境を利用しようとする可能性があります。遠隔教育への迅速な移行の必要性から、学校はサイバーセキュリティの欠如を招き、攻撃されやすい状況に置かれているようです。さらに、遠隔教育ツールをアウトソーシングしている教育機関では、データセキュリティ対策が見えなくなっている可能性があります。サイバー攻撃者は、このような遠隔教育サービスや学生データへの依存度が高まり、利用者が急増していることを、有利なターゲットと見なしている可能性があります。

オープン/エクスポーズド・ポート

FBI、CISA、MS-ISAC は、悪意のあるサイバー行為者が、公開されたリモート・デスクトップ・プロトコル（RDP）サービスを悪用してネットワークに初期アクセスし、しばしばランサムウェアを手動で展開することを頻繁に目撃しています。例えば、サイバー攻撃者は、ポート445（Server Message Block [SMB]）とポート3389（RDP）を攻撃して、ネットワークにアクセスしようとします。そして、ネットワーク全体を横方向に移動し（多くの場合、SMBを使用）、特権の昇格、機密情報へのアクセスと流出、認証情報の採取、あるいは多種多様なマルウェアを展開するように仕向けられます。この一般的な攻撃経路では、サイバー犯罪者は、他のリモートユーザーと同じ機能を提供する正当なネットワークサービスを使用しているため、目立たないようにすることができます。

使用済みソフトウェア

EOL（End-of-Life）ソフトウェアは、サイバーアクターによって定期的に悪用されており、多くの場合、初期アクセスの獲得、ウェブサイトの改ざん、ネットワークにおけるリーチの拡大などを目的としています。製品が製造中止になると、顧客はセキュリティアップデート、テクニカルサポート、バグフィックスを受けられなくなります。パッチが適用されていない脆弱なサーバーは、サイバー攻撃者に悪用される可能性が高く、組織の運用能力を阻害することになります。

サイバー攻撃を減らすには

計画・方針

FBI と CISA は、教育機関に対し、サービスの中断を最小限に抑えるため、緊急事態（サイバー攻撃など）が発生しても重要な機能を実行できるような事業継続計画を維持することを推奨しています。事業継続の原則を計画し、規定し、実施しなければ、教育機関は教育や管理運営を継続できなくなる可能性があります。継続性と能力を評価することは、潜在的な運用上のギャップを特定するのに役立つ。これらのギャップを特定し、対処することで、教育機関はサイバー攻撃やその他の緊急事態の際に機能を維持するための実行可能な継続性プログラムを確立することができます。FBI と CISA は、幼稚園から高校までの教育機関に対し、パッチ適用計画、セキュリティポリシー、ユーザー契約、事業継続計画を見直し、サイバーアクターがもたらす現在の脅威に確実に対応するよう提言しています。

ネットワークのベストプラクティス

• OS、ソフトウェア、ファームウェアは、メーカーがアップデートを公開したら、すぐにパッチを適用する。
• 教育機関所有の資産については、OSのバージョンごとに設定を確認し、ローカル管理ができないためにローカルユーザーが修正できないような問題が発生するのを防ぐ。
• ネットワークシステムやアカウントのパスワードを定期的に変更し、異なるアカウントでのパスワードの再利用を避ける。
• 可能であれば、多要素認証を使用する。
• 未使用のリモートアクセス/RDPポートを無効化し、リモートアクセス/RDPログを監視する。
• アプリケーションやリモートアクセスの許可リストを作成し、確立されたセキュリティポリシーで知られ許可されているプログラムの実行のみをシステムに許可する。
• 管理者権限を持つユーザーアカウントを監査し、最小権限を念頭に置いたアクセス制御を設定する。
• ログを監査し、新しいアカウントが正当なものであることを確認する。
• 開いているポートやリッスン中のポートをスキャンし、不要なポートを仲介する。
• 学生データベースサーバーや遠隔教育インフラなどの重要な資産を特定し、これらのシステムのバックアップを作成し、ネットワークからオフラインでバックアップを保管する。
• ネットワークのセグメンテーションを実施する。機密性の高いデータは、電子メール環境と同じサーバーやネットワークセグメント上に存在しないようにする。
• ウイルス対策やマルウェア対策を自動的に更新するように設定し、定期的にスキャンを行う。

ユーザーの認識に関するベストプラクティス

• 意識改革とトレーニングに重点を置く。エンドユーザーがターゲットとなるため、従業員や学生にランサムウェアやフィッシング詐欺などの脅威とその手口について認識させる。さらに、情報セキュリティの原則と技術、サイバーセキュリティのリスクと脆弱性全般に関するトレーニングを実施する。
• 従業員には、疑わしい活動を見たり、サイバー攻撃の被害を受けたと思ったときに、誰に連絡すればよいかを周知徹底する。これにより、確立された適切な緩和策を迅速かつ効率的に採用することができるようになる。
• ソーシャル・ネットワーキング・サイトのプライバシー設定や利用可能な情報を監視する。

ランサムウェアのベストプラクティス

FBIとCISA は身代金の支払いを推奨していません。身代金の支払いは、ファイルの復旧を保証するものではありません。また、身代金を支払うことで、敵対者がさらに別の組織を標的にするようになったり、他の犯罪行為者がランサムウェアの配布に関与するようになったり、不正な活動の資金源になったりする可能性もあります。しかし、あなたの組織が身代金を支払うことを決定したかどうかにかかわらず、FBI は、あなたの地域の FBI 支部にランサムウェアのインシデントを報告するよう強くお勧めします。これにより、FBI は、ランサムウェアの攻撃者を特定、追跡し、米国法の下で責任を取らせることにより、今後の攻撃を防止するために必要な重要な情報を得ることができます。

上記のネットワークのベストプラクティスの実施に加え、FBI と CISA は、以下のことを推奨しています。

• データの定期的なバックアップ、エアギャップ、オフラインでのバックアップコピーのパスワード保護。
• 復旧計画を実施し、機密または専有データおよびサーバーの複数のコピーを、物理的に分離した安全な場所に維持・保管する。

サービス妨害のベストプラクティス

• 異常なトラフィックフローを検出し、ネットワークからトラフィックをリダイレクトするサービス（DoS軽減サービス）への加入を検討する。
  イベント開催前に地域のインターネット・サービス・プロバイダー（ISP）と提携し、イベント開催中にネットワークを攻撃するネットワーク・トラフィックをISPと協力して制御する。
• ネットワーク・ファイアウォールを設定し、不正なIPアドレスをブロックし、ポート転送を無効化する。

ビデオ会議のベストプラクティス

• 参加者に最新版のリモートアクセス/会議アプリケーションを使用させる。
• セッションへのアクセスにパスワードを要求する
• パスワードや会議コードの共有を避けるよう、学生に奨励する
• 待合室など、到着した参加者を確認するための審査プロセスを確立する。
• 参加者に、エイリアスではなく本名でサインインするよう求めるポリシーを策定する。
• 画面共有の権限を主催者だけが管理できるようにする。
• ホストが到着する前に参加者が入室することを防ぎ、すべての参加者が退室する前にホストが退室することを防ぐためのポリシーを導入する。

エドテック導入の注意点

遠隔教育をサポートするためにサードパーティやエドテックサービスと提携する場合、教育機関は以下の点を考慮する必要があります。

• サービス提供者のサイバーセキュリティ方針と侵害発生時の対応計画、およびその修復方法。
• サービスプロバイダは、過去のサイバーインシデントをどのように解決したか？これらのインシデントの後、彼らのサイバーセキュリティの実践はどのように変化したか？
• サービス提供者の製品及びサービスに関するデータ・セキュリティの実践（例：輸送中及び静止中のデータ暗号化、セキュリティ監査、スタッフのセキュリティ教育、監査ログなど）。
• 提供者のデータ維持および保存の慣行（例：会社のサーバー、クラウドストレージ、または第三者のサービスの使用）。
• 提供者が収集・追跡する学生データの種類（例：個人情報、学業、懲戒、医療、バイオメトリクス、IPアドレスなど）。
• 提供者が学生データへのアクセスを許可する主体（例：ベンダー）。
• 提供者が学生データをどのように使用するか（例：サービス向上、新製品開発、研究、マーケティング／広告のために、第三者に販売するか、第三者と共有するか）。
• 提供者が行う学生データの識別情報の削除方法。
• データの保持と削除に関するプロバイダーのポリシー。

マルウェア対策

表1は、CISAが作成したSnortシグネチャで、以下のマルウェアの検出と関連する攻撃の防御に成功したものを示しています。
注：このリストは完全なものではなく、他の検知方法を排除して使用するべきではありません。

お問い合わせ先

本共同サイバーセキュリティ勧告に記載された情報に関連する疑わしい活動や犯罪行為を報告する場合は、最寄りのFBI支局（www.fbi.gov/contact-us/field）に連絡してください。その際、事件の発生日時、場所、活動の種類、影響を受けた人の数、活動に使用された機器の種類、提出した組織名、指定された連絡先などの情報を含めてください。

これらの脅威に関するインシデント対応リソースまたは技術支援を要請する場合は、CISA（Central@cisa.gov）までご連絡ください。

リソース

MS-ISAC の会員には、米国内のすべての公立K-12教育機関の職員またはその代表者がなれます。MS-ISAC は、K-12 教育機関のサイバーセキュリティ態勢を強化するために、複数のサイバーセキュリティサービスと特典を提供しています。参加するには、https://learn.cisecurity.org/ms-isac-registration をご覧ください。

• CISA テレワークガイダンスとリソース
• ビデオ会議を利用する学校に対する CISA サイバーセキュリティの勧告とヒント
• CISA ランサムウェアの出版物
• CISA 緊急サービス部門継続計画スイート
• CISA-MS-ISAC合同ランサムウェアガイド
• CISA のヒント ソーシャル・エンジニアリングとフィッシング攻撃の回避
• CISA のヒント パッチを理解する
• CISAとCYBER.ORGによるK-12学生および教育者向けの「サイバーセーフティ・ビデオシリーズ」
• FBI PSA：「インパクトの大きいランサムウェア攻撃が米国の企業や組織を脅かしている」

注：ランサムウェア、Edtech、教育機関向けサイバーセキュリティに関するその他の FBI 製品については、最寄りの FBI 支局（www.fbi.gov/contact-us/field）にお問い合わせください。

改訂内容

初期バージョン 2020年12月10日

セキュリティアセスメントを実施していますか？

文部科学省は2018年6月27日に6つの国公私立大学がフィッシングメールの被害にあい合計1万2000人分の個人情報が流出したことを受け、全国の大学に対策を強化するよう注意喚起し、先端技術情報を狙った標的型攻撃など、重大な情報漏えいにつながる可能性がある」と警告しました。これを受け多くの大学ではアカウント侵害を防ぐために多要素認証などの運用を開始しました。

GIGA スクールでは、児童生徒のメールをやり取りに制限をかけているところが多いためフィッシングメールの被害にあうことは少ないので大丈夫だと思っている方々もいらっしゃるはずですが、米国政府の警告 にも記述されているように、GIGA スクールで配られた クラウドのアウント も狙われていると考えた方がよいと思います。フィッシングメールで被害にあわなかったとしても、パスワード認証のみで利用されているクラウドサービスのアカウント は ブルートフォース攻撃やパスワードスプレー攻撃などによりアカウント侵害されている可能性が高いからです。

GIGA スクールで配布されたアカウントは連番であることが多いため、ハッカーからすると攻撃対象しやすいといった利点があります。また教育委員会自身がセルフセキュリティアセスメントを実施できていないケースが多いため、今までアカウント侵害されていることに気づいていないといったことも多いのではないでしょうか。

• ブルートフォース攻撃
  ブルートフォース攻撃とは、日本語では「総当たり攻撃」と訳される、暗号解読や認証情報取得の手法です。 主にパスワードを不正に入手するために用いられます。 具体的な手法は、理論的に考えられるパスワードのパターン全てを入力するという、実に単純なものです。
• パスワードスプレー攻撃
  パスワードスプレー攻撃とはIDやパスワードを組み合わせて連続的に攻撃するブルートフォース攻撃の一種です。
  ログイン制御を持つシステムでは、一定期間に一定の回数のログインエラーが起こると、アカウントが一定時間ロックされる仕組みを持つものがありますが、パスワードスプレーは、このアカウントロックを回避する手法を持つパスワード攻撃です。
• アカウント侵害
  アカウント侵害とは、アクセス権のない人物によってアカウントにアクセスされることをです。主な原因としてはパスワード認証という方法の脆弱性です。複雑で強力なパスワードであったとしても、攻撃者の巧妙な技術によってアカウントは侵害されます。攻撃者がアカウントに不正アクセスする手段としては、パスワードスプレー攻撃、ブルートフォース攻撃、フィッシング などがあげられます。

Microsoft 365 での脅威の検出

セキュリティー対策を実施してく上で、まず最初にやらなければいけいことはアカウント侵害などのセキュリティ侵害を受けているかどうかを確認することです。

Microsoft 365 ではアカウント侵害などの脅威を簡単に検出することができます。お使いいただいているライセンスによって若干異なりますが、無償で利用できる Office 365 A1 でも脅威の検出は可能です。年度更新作業とともに教職員、児童生徒たちのアカウントが安全に運用できているかどうかチェックすることをお勧めします。

Azure Active Directory のセキュリティレポート

脅威の検出は Azure Active Directory Identity Protection の機能を使って Azure Active Directory のセキュリティレポート で行います。

• Web ブラウザで Microsoft 管理センター アクセスし、Microsoft 365 の管理者アカウントとパスワードでログインします。
• 画面左ペインの [すべてを表示]　をクリックします。
  
• 画面左ペインの [Azure Active Directory]　をクリックします。
  
• Azure Active Directory 管理センターが表示されたら、画面左ペインの [Azure Active Directory]　をクリックします。
  
• 管理 の一番下の[セキュリティー]をクリックします。
  
• 画面左ペインのレポートの下に [危険なユーザー]、[危険なワークロードID(プレビュー)]、[危険なサインイン]、[リスク検出] が表示されます。
  ※[リスク検出] は Microsoft 365 A3, A5 を契約しているテナントでのみ表示されます。
  
• Azure Active Directory Identity Protection ではこの4つのレポート(Office 365 A1 の場合は3つ)を作成することができます。

次に一例として危険なサインインのレポートの確認方法を示します。

危険なサインイン

• [危険なサインイン] をクリックすると Azure Active Directory Identity Protection が危険なサインインと判断したアカウントの情報が表示されます。
  
• 画面上の [ダウンロード] をクリックするとレポートを CSV または JSON 形式でダウンロードできます。
  ※後にも記述していますが、アカウント侵害等の証拠を保存することは重要ですので必ずログをダウンロードして保存してください。
  
  
• CSV のレポートには以下の情報が記載されます。

タイトル	説明
日付(UTC)	リスクが検出された時間
要求ID
相関ID
ユーザーID	リスクが検出されたユーザーの ObjectID
ユーザー	リスクが検出されたユーザーの表示名
ユーザー名	リスクが検出されたユーザーの UserPrincipalName
アプリケーション	リスクが検出されたときに使用していたアプリケーション
アプリケーションID	アプリケーションのID
IPアドレス	アクセス元のIPアドレス
場所	アクセス元のIPアドレスから推測される場所
リスクの状態	危険、高、中、低
検出の種類	リスクは何で検出されたか
状態	成功 or 中断
サインインのエラーコード
エラーの理由	サインインがエラーした理由
クライアントアプリ	リスクが検出されたときに利用していたアプリケーション
デバイスID
ブラウザー	リスクが検出されたときに利用していたブラウザー
オペレーティングシステム	リスクが検出されたときに利用していたOS
準拠している	組織のポリシーに準拠している端末かどうか
マネージド	組織が管理している端末かどうか
結合の種類
MFA の結果	MFAをした結果
MFA 認証方法	どのような MFA を使用したか
MFA 認証の詳細	MFA 認証の詳細
認証の要求	単一要素認証 or 多要素認証
条件付きアクセス	適用されているか、いないか

• サインインリスクの検出の種類は次の通りです。

リスクの検出	検出の種類	説明
匿名のIPアドレス	リアルタイム	このリスク検出の種類は、匿名の IP アドレス (Tor ブラウザーや Anonymizer VPN など) からのサインインを示します。 これらの IP アドレスは、一般に、悪意のある可能性がある意図のためにログイン テレメトリ (IP アドレス、場所、デバイスなど) を隠したいアクターによって使用されます。
特殊な移動	オフライン	このリスク検出の種類では、地理的に離れた場所で行われた 2 つのサインインを識別します。少なくとも 1 つの場所は、ユーザーの過去の行動から考えて、ユーザーにそぐわない可能性がある場所でもあります。 さまざまな要素がある中、この機械学習アルゴリズムでは、2 回のサインインの間隔と、最初の場所から 2 回目の場所にユーザーが移動するのに要する時間が考慮されます。これにより、異なるユーザーが同じ資格情報を使用していることが示唆されます。このアルゴリズムは、組織内の他のユーザーによって普通に使用される VPN や場所など、不可能な移動状況の原因になる明らかな "誤検知" を無視します。 システムには、最短で 14 日間または 10 回のログインの初期学習期間があり、その間に新しいユーザーのサインイン行動が学習されます。
異常なトークン	オフライン	これが検出されたことは、通常とは異なるトークンの有効期間や、これまでと違う場所から再生されるトークンなど、トークンに異常な特性があることを示しています。 この検出には、セッション トークンと更新トークンが含まれます。
トークン発行者の異常	オフライン	このリスクの検出は、関連する SAML トークンの SAML トークン発行者が侵害された恐れがあることを意味しています。 トークンに含まれるクレームが、通常とは異なるか、既知の攻撃者パターンと一致しています。
マルウェアにリンクした IP アドレス	オフライン	このリスク検出の種類は、ボット サーバーと活発に通信していることが判明している、マルウェアに感染した IP アドレスからのサインインを示します。 この検出は、ボット サーバーがアクティブなときにボット サーバーと接触していた IP アドレスに対して、ユーザーのデバイスの IP アドレスを関連付けることによって判断されます。この検出は非推奨になりました 。 Identity Protection では、新しい "マルウェアにリンクした IP アドレス" 検出が生成されなくなります。 現在、テナントに "マルウェアにリンクした IP アドレス" の検出が設定されているお客様は、90 日の検出データ保有期間に達するまで、それらを表示、修復、または無視することができます。
疑わしいブラウザー	オフライン	不審なブラウザー検出は、同じブラウザー内の異なる国の複数のテナントにわたる疑わしいサインイン アクティビティに基づく異常な動作を示します。
通常とは異なるサインイン プロパティ	リアルタイム	このリスク検出の種類は、過去のサインイン履歴 (IP、緯度/経度、および ASN) を考慮して、異常なサインインを判別します。システムは、ユーザーが過去に使用した場所に関する情報を保持し、これらを "既知の" 場所と考えます。 既知の場所のリストにまだ含まれない場所からサインインが行われると、リスク検出がトリガーされます。 新しく作成されたユーザーは、しばらくの間 "学習モード" に置かれ、そのユーザーの行動がアルゴリズムによって学習されるまで、通常とは異なるサインイン プロパティ リスク検出は停止されます。 学習モードの期間は動的であり、ユーザーのサインイン パターンに関する十分な情報をアルゴリズムが収集するためにかかる時間によって決まります。 最小期間は 5 日です。 無活動状態が長期間続いた場合、ユーザーは学習モードに戻る可能性があります。 また、システムは、既知のデバイスからのサインイン、および既知の場所と地理的に近い場所からのサインインも無視します。この検出は、基本認証 (または従来のプロトコル) に対しても実行されます。 これらのプロトコルには、クライアント ID などの最新のプロパティがないため、誤検知を減らすためのテレメトリが限られています。 お客様には、最新の認証に移行することをお勧めしています。通常とは異なるサインイン プロパティは、対話型サインインと非対話型サインインの両方で検出できます。この検出が非対話型サインインで行われた場合、トークン リプレイ攻撃のリスクがあるため精査を増やす必要があります。
ユーザーに対するセキュリティ侵害を管理者が確認しました	オフライン	この検出は、管理者が "危険なユーザー" UI で、または riskyUsers API を使用して、[ユーザーに対するセキュリティ侵害を確認しますか?] を選択したことを示します。 このユーザーに対するセキュリティが侵害されたことを確認した管理者を調べるには、ユーザーのリスク履歴を (UI または API 経由で) 確認します。
悪意のある IP アドレス	オフライン	この検出は、悪意のある IP アドレスからのサインインを示します。 IP アドレスは、その IPアドレスまたはその他の IP 評価ソースから受信した無効な資格情報によるエラー率の高さに基づいて、悪意があるとみなされます。
受信トレイに対する疑わしい操作ルール	オフライン	この検出は、Microsoft Defender for Cloud Apps によって検出されます。 ユーザーの受信トレイでメッセージまたはフォルダーを削除または移動する疑わしいルールが設定されている場合、この検出によって環境がプロファイルされ、アラートがトリガーされます。 この検出は、ユーザー アカウントが侵害されていること、メッセージが意図的に非表示にされていること、組織内でスパムまたはマルウェアを配信するためにメールボックスが使用されていることを示唆している可能性があります。
パスワード スプレー	オフライン	パスワード スプレー攻撃とは、複数のユーザー名に対し、よく使われるパスワードを片っ端から試して不正アクセスしようとする攻撃です。 このリスク検出は、パスワード スプレー攻撃が実行されたときにトリガーされます。
あり得ない移動	オフライン	この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出は、(1 つまたは複数のセッションにおける) 2 つのユーザー アクティビティが地理的に離れている場所で、最初の場所から 2 回目の場所にユーザーが移動するのに要する時間より短い時間内に発生したことを示します。これは、別のユーザーが同じ資格情報を使用していることを示唆します。
初めての国	オフライン	この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出では、新しい場所や頻度の低い場所を判断する際に、過去にアクティビティが発生した場所が考慮されます。 異常検出エンジンにより、組織内のユーザーが以前に使用したことのある場所に関する情報が格納されます。
匿名 IP アドレスからのアクティビティ	オフライン	この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出は、匿名プロキシ IP アドレスとして識別された IP アドレスからユーザーがアクティブだったことを示します。
受信トレイからの疑わしい転送	オフライン	この検出は、Microsoft Defender for Cloud Apps によって検出されます。 この検出は、ユーザーがすべてのメールのコピーを外部のアドレスに転送する受信トレイ ルールを作成した場合などの疑わしいメール転送ルールを探します。
Azure AD 脅威インテリジェンス	オフライン	このリスク検出の種類は、Microsoft の内部および外部の脅威インテリジェンスのソースに基づいて、特定のユーザーにとって異常であったり、既知の攻撃パターンに一致したりするサインイン アクティビティを示します。

リスク調査の詳細な方法については Microsoft が提供するドキュメント をご確認ください。

ここで出力されるレポートは Microsoft 365 のシステムが「危険なサインイン」だと検知したもので、ここに表示されてサインが本当に危険なサインインかどうかは、利用者に本当にこの時間にこの場所からサインインしたのかどうかなどの確認を行っていく必要があるかもしれません。最終的には様々な情報を収集、分析して人がセキュリティ侵害があったかどうかを判断していく必要があります。

アカウント侵害等のセキュリティーインシデントが確認された場合の対応

各教育員会、自治体のセキュリティポリシーに従ってインシデント対応を実施してください。
以下に対応しなければいけないであろう項目の一例を示します。

• 不正アクセスの証拠を保管します。
• 被害拡大を防止するために不正アクセスが確認されたアカウントをロックします。
• 各自治体のセキュリティ対策委員会へ報告します。
• 最寄りの警察署または都道府県警察サイバー犯罪相談窓口に相談します。
• 被害状況と原因を調査します。
• 調査結果から対策方法を検討実施し、復旧(例えば該当アカウントのパスワードリセット)を実施します。

被害の届け出(参考資料)

セキュリティ関連団体では、セキュリティ対策方法の助言やインシデントに関係している他組織への交渉、不正アクセスの追求などをサポートしてくれます。このようなセキュリティ関連団体へ報告することも、ひとつのセキュリティ対策です。また、団体によって運営方針が異なるので、インシデントの状況によって適した団体へ報告する必要があります。

セキュリティ関連団体

• 情報処理振興事業協会 セキュリティセンター(IPA/ISEC)：http://www.ipa.go.jp/security/index.html
• コンピュータ緊急対応センター(JPCERT/CC)：http://www.jpcert.or.jp/
• 都道府県警察本部のハイテク犯罪相談窓口：http://www.npa.go.jp/police_j.htm

このようなインシデント対策は複雑であるので、自組織のみで対応することが困難である場合は、セキュリティサービスを提供している企業に相談することもセキュリティ対策の1つの方法です。

セキュリティ侵害を防ぐためには

Microsoft 365 のセキュリティ侵害を防ぐ緩和策として参考になる資料としては、英国 NCSC (National Cyber Security Centre) が 2018 年に発行した "The rise of Microsoft Office 365 compromise" や Microsoft が提供する 「ビジネス プランのセキュリティをMicrosoft 365するトップ 10 の方法」 いった資料があります。

以下に "The rise of Microsoft Office 365 compromise" の日本語抄訳を示しますのでご参照ください。

Microsoft 365 でセキュリティ侵害を防ぐ緩和策についての詳細は設定方法に関しては「GIGAスクールセキュリティ対策ハンドブック(セキュリティ侵害対策編) | Microsoft 365 第1版」(執筆中)に記載する予定です。

この文章について

このNCSC 勧告では、Microsoft Office 365 の侵害に関する詳細とあらゆる規模の組織が採用を検討すべき緩和策について詳しく解説します。このアドバイザリーに記載されている緩和策を検討する際には、リスクベースのアプローチをとる必要があることを忘れないでください。

本報告書の取り扱いについて

このレポートの情報は、トラフィックライトプロトコル（TLP）のWHITEが与えられており、サイバーセキュリティ情報共有パートナーシップ（CiSP）コミュニティ内で取り扱いに制限なく共有できることを意味しています。本レポートは、その TLP に適した方法で保存、処理、および送信する必要があります。

免責事項

本レポートは、NCSCおよび業界の情報源から得られた情報をもとに作成されています。NCSCの調査結果や勧告は、すべてのリスクを回避することを意図して提供されたものではなく、勧告に従うことですべてのリスクが除去されるわけではありません。情報リスクの所有権は常に関連するシステムの所有者にあります。

はじめに

Microsoft Office 365 (以下O365 と記す)は、Microsoft が提供するクラウドサービスでメール、カレンダー、オンラインストレージなどのサービスを月額課金でユーザーに提供しており、その普及が全世界的に進んでいます。O365は、あらゆる業種や規模の組織で急速に採用されているため、特に金銭的な利益を得ようとするサイバー攻撃者の恰好のターゲットになっています。FBIによると、ビジネスメールへの攻撃により、2013年から2016年の間に53億ドル以上の損失が企業に発生しています¹ 。

NCSCは、サプライチェーンを標的とした攻撃でこのような手法が使用されるなど、英国内でO365アカウントの侵害を伴ういくつかのインシデントを認識しています。この種の標的の最終的な目的は明確ではなく、攻撃は特定のセクターに限定されたり、特定の脅威行為者に起因するものではなさそうです。

この NCSC 勧告では、サイバー攻撃者が O365 を侵害するために使用するさまざまな手法を概説し、このような侵害の発生リスクを低減するために組織が取ることのできる手順について、詳細なガイダンスを提供します。

詳細

O365 の侵害の目的

O365アカウントの侵害の影響は、行為者の目的によって深刻度が異なります。行為者がO365アカウントの認証情報を取得すると、そのアカウントを使ってユーザーのO365画面（SharePoint、OneNoteなど）の文書にアクセスできるだけでなく組織内でさらなる侵害を行うための踏み台として使用することができます。侵害されたO365アカウントを利用する方法については以下のとおりです。

• 漏洩したO365アカウント所有者になりすまし、金銭の移動を操作したり、組織内の情報にアクセスしたりする。
• 漏洩したアカウントから商業上の機密情報を盗み出し、公に漏洩して企業の風評被害を与えたり売却したりする。
• 漏洩した O365 アカウントを使用してスピアフィッシングメールを配信し、受信者にユーザー認証情報を提供するよう促し、被害者の組織とそのサプライチェーン内の O365 認証情報にさらにアクセスできるようにする。
• 漏洩した O365 アカウントの認証情報を使用して、ソーシャルメディアやその他の場所で個人のアカウントにアクセスしようとし、そこで行為者が使用または販売できる機密情報を見つける可能性がある。
• 侵害された O365 アカウントが、行為者のメールアカウントに受信メールのコピーを密かに送信するように、転送ルールを設定する。

O365 アカウントのアクセス権の獲得

O365のアカウントにアクセスするには、ブルート・フォース攻撃とスピア・フィッシングという2つの一般的なハッキング手法が用いられます。

• ブルート・フォース攻撃
  ブルート・フォース攻撃は、多くの場合、自動化された方法でパスワードを推測するものです。O365アカウントへの攻撃では、主にクラウドサービスプロバイダーによる攻撃の発見を減らすために、複数の従業員を対象とするよりも、組織内の特定の個人を対象とするブルート・フォース技術が使用されることが多くなっています。²
• スピア・フィッシング
  スピア・フィッシングは、被害者にリンクをクリックするよう要求するメールを送り、そのリンクをクリックすると、なりすましのログインページにリダイレクトされるというものです。このログインページによって、行為者は被害者のO365認証情報を採取することができます。³

O365 の不正アクセス防止に 多要素認証が重要な理由

ブルート・フォース攻撃やスピア・フィッシングによるO365アカウントの侵害リスクを低減するために組織が取るべき最も重要な措置の1つは、O365プラットフォーム全体に多要素認証（MFA）を導入することです。ユーザーはオンラインサービスや企業向けサービスでパスワードを再利用する傾向があるため⁴ 、MFAはセキュリティの層をもう一つ増やすことで、パスワードの漏洩の可能性を減らすことができます。

MFAは、以下の認証方法のうち2つ以上を要求することで機能します。

• あなたが知っているもの（通常はパスワード)。
• あなたが持っているもの（携帯電話など、信頼できるデバイス)。
• あなた自身（バイオメトリクス）。

O365プラットフォームは、さまざまな多要素認証のメカニズムをサポートしており、サブスクリプションに応じて組織は異なる多要素認証を混合して使用することができます。

多要素認証を組織のO365プラットフォーム全体に効果的に導入するには、IT部門が導入対象のユーザーグループを理解することが必要です。これは、組織が多様な労働力を扱っている場合に特に重要です。例えば携帯電話の普及率が低い場所に従業員が配置されている組織では、SMSトークンの受信に問題がありO365プラットフォームへのアクセスが困難になる可能性があります。このような場合、組織全体への導入が進められるように様々な多要素認証のメカニズムを検討する必要があります。

NCSCは最近「オンラインサービスのための多要素認証」に関するガイダンス⁵を発表しました。

組織は、このガイダンスを、以下の緩和策のアドバイスと合わせて確認してください。これは、O365を使用してオンラインサービスを提供する組織向けに作成されたものです。

緩和策

このセクションでは、すべての組織が最低限実施すべき緩和策を詳しく説明し、さらに検討すべき機能をいくつか挙げています。

NCSCは、Office 365 Secure Score⁶ を定期的に参照することも提案しています。このスコアは、組織の構成の側面を分析し、それを長期にわたって追跡し、セキュリティに影響を与えるさらなる改善のための推奨事項を示します。スコアの数値自体は特に有用ではありませんが、スコアに反映される分析や推奨事項は、組織がどのような制御を実施しているかを監査し、新しくリリースされたセキュリティ機能を特定する良い方法となります。Office 365 Secure Score の詳細とその活用方法については、マイクロソフトのサポートサイト⁷ に掲載されています。

すべての組織は、Microsoftが公開しているOffice 365のセキュリティベストプラクティス⁷ を実施することを強くお勧めします。これには以下が含まれます。

認証方法

組織は、多要素認証の一種（下記で説明されている）を確実に行う必要があります(NCSC の MFA ガイダンス⁸)。多要素認証をすべてのアカウントで有効にし、条件付きアクセスで強制的に使用します。追加要素の種類は、ユーザーが現在どのようにサービスにアクセスしているかによって異なりますが、通常、以下のうちの1つ（または複数）になります。

• 認証アプリ - 単一のコードを使用するか、承認/拒否のプロンプトを受け入れるか。
• Azure AD登録デバイス、参加デバイス、準拠デバイスなど、既知のデバイス⁹からサービスにアクセスすること。
• 信頼できるネットワーク¹⁰からのサービスアクセス（VPN を介したネットワークへのリモートアクセスを含む)。
• 事前に登録された番号への SMS または電話。SMSは最も安全なタイプの多要素認証ではありませんが、どのような多要素認証でもないよりはましです。

NCSCは、特権的または管理的なアクセスを持つユーザーは、認証アプリを使用し、既知の信頼できるデバイスまたはネットワークからサービスにアクセスしていることを証明することを推奨しています。

レガシー認証プロトコルの中には、最新の認証を完全にサポートしていないものがあり、多要素認証などのセキュリティ制御をオフにしたり、バイパスしたりする必要があるものがあります。これらは一般に、古いOfficeクライアント（Office 2010など）や、IMAP/SMTP/POPなどのメールプロトコルを使用するアプリケーションで使用されています。したがって、NCSCは、組織の条件付きアクセスポリシーの一環として、レガシー認証プロトコルを無効にすることを強く推奨します。

1. https://www.itproportal.com/features/office-365-and-linkedin-integration-a-goldmine-for-fraudsters/ ↩

2. https://www.tripwire.com/state-of-security/featured/new-type-brute-force-attack-office-365-accounts/ ↩

3. https://threatpost.com/office-365-phishing-campaign-hides-malicious-urls-in-sharepoint-files/136525/ ↩

4. https://www.ncsc.gov.uk/guidance/password-collection ↩

5. https://www.ncsc.gov.uk/guidance/multi-factor-authentication-online-services ↩

6. https://securescore.office.com/ ↩

7. https://docs.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/secure-your-business-data?view=o365-worldwide ↩ ↩²

8. https://www.ncsc.gov.uk/guidance/multi-factor-authentication-online-services ↩

9. https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/require-managed-devices#managed-devices ↩

10. https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/require-managed-devices#managed-devices ↩