一見すると、マイクロソフトのOffice 365スイートはかなり......甘いように思えるだろう?生産性向上アプリ、クラウドストレージ、Eメールサービスのホストが揃っているだけでなく、マイクロソフト独自のEメールセキュリティソリューションでスパムからも守られている。市場シェア54%、アクティブユーザー数1億5500万人以上と、企業向けメールソリューションとして最も広く採用されているのも頷ける。あなたもその一人だろう。
でも、サイバーセキュリティ企業がOffice 365についてのブログを書いているなら、何か裏があるんじゃないの?そうですね。あります。ここでは、Office365のセキュリティオプションの何が問題なのか、そしてなぜこの問題を知る必要があるのかを説明します。
Microsoft Office 365のセキュリティが得意とすること
その問題点を語る前に、まずこれを素早く整理しておこう。Microsoft Office 365 Advanced Threat Protectionは、基本的なメールセキュリティにおいて非常に有効です。スパムメールやマルウェア、ウイルスが受信箱に入ってくるのを防ぐことができます。
基本的なスパム対策だけであれば、これで十分です。しかし、これが問題なのです。このような低レベルのスパムは、通常、最大の脅威にはなりません。ほとんどのメールプロバイダは、疑わしい送信元からのメールをブロックすることで、何らかの基本的な保護機能を提供しています。本当の脅威とは、組織の資金やデータ、ブランドの信頼性を失わせるようなもので、偽物だと気づかれないように慎重に作られたメールのことです。
これは、深刻なサイバー犯罪の領域に入るときです。
Microsoft Office 365で守れないもの
Microsoft Office 365のセキュリティ・ソリューションはアンチスパム・フィルターのように機能し、アルゴリズムを使ってメールが他のスパムやフィッシング・メールと類似しているかどうかを判断する。しかし、ソーシャル・エンジニアリングを使ったはるかに巧妙な攻撃や、特定の従業員や従業員グループをターゲットにした攻撃を受けた場合はどうなるのだろうか。
これらは、何万人もの人々に一斉に送信される、ありふれたスパムメールではありません。BEC(Business Email Compromise)やVEC(Vendor EmailCompromise)は、攻撃者がターゲットを慎重に選び、メールをスパイすることで組織の情報を詳しく知り、戦略的なポイントで偽の請求書や要求書をメールで送り、金銭の授受やデータの共有を要求する例です。
この手口は、スピアフィッシングとして広く知られており、自分の組織内の誰か、あるいは信頼できるパートナーやベンダーからのメールであるかのように見せかけます。このようなメールは、注意深く見ても非常にリアルに見えることがあり、経験豊富なサイバーセキュリティの専門家でも検知することはほぼ不可能です。
攻撃者があなたの上司や組織のCEOになりすましてメールを送ってきたとしても、そのメールが本物に見えるかどうかを確認することはまずないでしょう。これこそが、BECやCEO詐欺の危険な点です。Office 365は、これらが表向きには実在の人物から送られてきているため、アルゴリズムがスパムメールとみなさず、この種の攻撃から保護することができません。
BECやスピアフィッシングからOffice 365を守るには?
Domain-based Message Authentication, Reporting & Conformance(DMARC)は、ドメイン所有者が提供する情報を使用して、なりすましメールから受信者を保護するメールセキュリティプロトコルです。あなたの組織のドメインにDMARCを実装すると、受信サーバーは、あなたのドメインから来るすべてのメールを、あなたが公開したDNSレコードと照合します。
しかし、Office 365 ATPが標的型スプーフィング攻撃を防げなかったとしたら、DMARCはどうやって防いでいるのでしょうか?
さて、DMARCの機能はアンチスパムフィルタとは全く異なります。スパムフィルターが受信トレイに入ってくるメールをチェックするのに対し、DMARCはあなたの組織のドメインから送信されるメールを認証します。これが意味するのは、誰かがあなたの組織になりすましてフィッシングメールを送ろうとしても、DMARCを導入している限り、それらのメールはスパムフォルダに捨てられるか、完全にブロックされるということです。
また、サイバー犯罪者があなたの信頼するブランドを利用してフィッシングメールを送信していたとしても、あなたの顧客でさえも対処する必要がないということです。DMARCは、実際にあなたのビジネスを守るのにも役立つのです。
しかし、それだけではありません。Office 365は実際にはフィッシング攻撃を可視化することはできず、スパムメールをブロックするだけです。しかし、自社のドメインを適切に保護したいのであれば、誰が、何が、自社のブランドになりすまそうとしているのかを正確に把握し、直ちに対策を講じる必要があります。DMARCは、不正な送信元のIPアドレスやメールの数など、このデータを提供する。PowerDMARCは、ダッシュボード上で高度なDMARC分析を行うことで、これを次のレベルに引き上げます。
PowerDMARCがあなたのブランドにできることをご紹介します。
- ビジネスに最適なDMARCソリューション・プロバイダーを見つけるには?- 2024年4月25日
- PowerDMARCとZendata、ドメイン・セキュリティ強化のためのパートナーシップを締結- 2024年4月25日
- PowerDMARC、中東における電子メールセキュリティの実践を推進するためCNSと提携- 2024年4月24日