一見すると、MicrosoftのOffice 365スイートはかなり魅力的に見えますよね?生産性向上のためのさまざまなアプリケーション、クラウドストレージ、メールサービスを利用できるだけでなく、マイクロソフト独自のメールセキュリティソリューションにより、スパムからも保護されます。市場シェアは54%、アクティブユーザー数は1億5,500万人以上と、最も広く採用されている企業向けメールソリューションであることも不思議ではありません。あなたもその一人ではないでしょうか。

でも、サイバーセキュリティ企業がOffice 365についてのブログを書いているなら、何か裏があるんじゃないの?そうですね。あります。ここでは、Office365のセキュリティオプションの何が問題なのか、そしてなぜこの問題を知る必要があるのかを説明します。

Microsoft Office 365のセキュリティが得意とすること

その問題点を語る前に、まずこれを素早く整理しておこう。Microsoft Office 365 Advanced Threat Protectionは、基本的なメールセキュリティにおいて非常に有効です。スパムメールやマルウェア、ウイルスが受信箱に入ってくるのを防ぐことができます。

基本的なスパム対策だけであれば、これで十分です。しかし、これが問題なのです。このような低レベルのスパムは、通常、最大の脅威にはなりません。ほとんどのメールプロバイダは、疑わしい送信元からのメールをブロックすることで、何らかの基本的な保護機能を提供しています。本当の脅威とは、組織の資金やデータ、ブランドの信頼性を失わせるようなもので、偽物だと気づかれないように慎重に作られたメールのことです。

これは、深刻なサイバー犯罪の領域に入るときです。

Microsoft Office 365で守れないもの

Microsoft Office 365のセキュリティソリューションは、スパム対策フィルターのように、アルゴリズムを用いてメールが他のスパムやフィッシングメールと類似しているかどうかを判断します。しかし、ソーシャルエンジニアリングを利用したはるかに巧妙な攻撃や、特定の社員やグループを対象とした攻撃を受けた場合はどうなるでしょうか。

これらは、何万人もの人々に一斉に送信される、ありふれたスパムメールではありません。BEC(Business Email Compromise)VEC(Vendor EmailCompromise)は、攻撃者がターゲットを慎重に選び、メールをスパイすることで組織の情報を詳しく知り、戦略的なポイントで偽の請求書や要求書をメールで送り、金銭の授受やデータの共有を要求する例です。

この手口は、スピアフィッシングとして広く知られており、自分の組織内の誰か、あるいは信頼できるパートナーやベンダーからのメールであるかのように見せかけます。このようなメールは、注意深く見ても非常にリアルに見えることがあり、経験豊富なサイバーセキュリティの専門家でも検知することはほぼ不可能です。

攻撃者があなたの上司や組織のCEOになりすましてメールを送ってきたとしても、そのメールが本物に見えるかどうかを確認することはまずないでしょう。これこそが、BECやCEO詐欺の危険な点です。Office 365は、これらが表向きには実在の人物から送られてきているため、アルゴリズムがスパムメールとみなさず、この種の攻撃から保護することができません。

BECやスピアフィッシングからOffice 365を守るには?

DMARC(Domain-based Message Authentication, Reporting & Conformance)とは、ドメインの所有者が提供する情報を利用して、受信者をなりすましメールから保護するメールセキュリティプロトコルのことです。組織のドメインにDMARCを実装すると、受信サーバーは、あなたのドメインから送られてくるすべてのメールを、あなたが公開したDNSレコードと照合します。

しかし、Office 365 ATPが標的型スプーフィング攻撃を防げなかったとしたら、DMARCはどうやって防いでいるのでしょうか?

さて、DMARCの機能は、アンチスパムフィルターとは全く異なるものである。スパムフィルターが受信箱に入る受信メールをチェックするのに対し、DMARCは組織のドメインから送信される送信メールを認証します。つまり、誰かがあなたの組織になりすましてフィッシングメールを送ろうとしても、DMARCが適用されている限り、そのようなメールはスパムフォルダに捨てられるか、完全にブロックされるということです。

また、サイバー犯罪者があなたの信頼するブランドを利用してフィッシングメールを送信していたとしても、あなたの顧客でさえも対処する必要がないということです。DMARCは、実際にあなたのビジネスを守るのにも役立つのです。

しかし、それだけではありません。Office 365は実際にはフィッシング攻撃を可視化することはできず、スパムメールをブロックするだけです。しかし、自社のドメインを適切に保護したいのであれば、誰が、何が、自社のブランドになりすまそうとしているのかを正確に把握し、直ちに対策を講じる必要があります。DMARCは、不正な送信元のIPアドレスやメールの数など、このデータを提供する。PowerDMARCは、ダッシュボード上で高度なDMARC分析を行うことで、これを次のレベルに引き上げます。

PowerDMARCがあなたのブランドにできることをご紹介します。