Office 365 でのフィッシング対策

(この記事は 2017 年 9 月 12 日に IT Showcase に投稿された記事 Microsoft thwarts phishing attempts with Office 365 の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

サイバー攻撃、マルウェア、フィッシング詐欺は、日に日に巧妙さを増していますが、マイクロソフトはそれに対応するべく常に対策を講じています。Office 365 やその他のマイクロソフトテクノロジなどのセキュリティフレームワークを継続的に改善し、脅威に対する検出、防御、対処を強化しています。Exchange Online Protection や Office 365 Advanced Threat Protection といったサービスでは、強力なフィッシング対策アルゴリズム、機械学習、異常検出などを駆使して、企業がメールによるフィッシング攻撃を阻止し、防御力を向上できるように支援しています。

マイクロソフトでは毎月 4,500 億件以上のメールを処理し、毎分 1,000 万件のスパムメッセージをブロックし、悪意のあるメール、スパム、マルウェアからユーザーを保護しています。Microsoft Office 365、Exchange Online Protection (EOP)、Office 365 Advanced Threat Protection (Office 365 ATP) は連動してサイバー攻撃を防御し、データや知的財産をリアルタイムに保護します。そのうえ、企業の生産性も維持されます。EOP と Office 365 ATP は、広範かつ包括的なマイクロソフトセキュリティプラットフォームの一部です。このプラットフォームには、Office 365 のセキュリティ機能のほか、Windows Defender ATP、Windows 10 (Device Guard、Credential Guard)、Intune、Azure Security Center といったマイクロソフトのテクノロジが含まれます。

これらのサービスすべてが、サイバー攻撃に対する防御に役立ちます。使用される強力な機械学習アルゴリズムの一部は、メールや添付ファイルから収集されるシグナルから構築されています。また、パターンや異常を学習することで、悪意のあるメール、スパム、マルウェアを検出しています。

フィッシングとは

EOP や Office 365 ATP で処理される一般的な迷惑メールの 1 つが、オンラインの個人情報を盗もうとするフィッシングメールです。脅威を与える者すなわち攻撃者は、他人をだましてリンクや添付ファイルを開かせたり、メールに返信させたり、送金させたり、それ以外にも何らかのアクションを実行させたりします。ターゲットを巧みに誘導し、口座の詳細、パスワード、クレジットカード番号など、企業や個人の情報を引きだそうとすることもあります。メール、テキストメッセージ、Web サイト、電話などで、正当な手段を装って誘い込み、金銭の詐取、スパイ活動、その他の不正行為を目的として情報を悪用します。よく見られるケースが、偽の Web サイトや、脅迫行為、正当な会社のふり、知人へのなりすましなどです。

それでは、フィッシング攻撃の典型的な例を詳しく見ていきましょう。それらに共通する手口を考察しながら、以下についてご説明します。

大量かつ複雑なフィッシング攻撃に対して、EOP と Office 365 ATP によってどのように対策を強化しているか。
毎日 150 億件以上のセキュリティイベントを処理しているマイクロソフトのコアサービス & エンジニアリング部門 (旧 Microsoft IT) は、EOP と Office 365 ATP を活用して、どのように攻撃について学習し、迅速に調査および対処し、先制的な対応を強化しているか。

ますます巧妙化するフィッシング行為

フィッシング行為が絶えることはなく、その手口も常に進化しています。こうした攻撃に対して、企業は先んじて対策を講じ、常に最新の検出機能とテクノロジ (英語) で防御を固めることで、マルウェアやウイルスから身を守れるようにする必要があります。以下のように攻撃がいっそう巧妙化していることを考えれば、こうした対策は特に重要です。

かつて大量にばらまかれていたフィッシングメールといえば、雑な作りで、標的もはっきりしていませんでした。それが、現在では、フィッシング攻撃専門の巨大な産業が生まれるほどになっています。攻撃者側にはプロの犯罪者や犯罪組織も混じっており、国家が関与しているケースもあります。さらには、会社組織として犯罪者を雇い、独自の研究調査チームを作っていることもあります。攻撃者は最新の注意を払って、企業や個人になりすましたり、正当なメッセージに見せかけたりしているのです。
企業の幹部は機密情報を知る立場にあるため、「ホエーリング」と呼ばれる、大物を標的としたフィッシング攻撃の対象になりがちです。
「スピアフィッシング」は特に問題となっています。通常のフィッシング攻撃は広く網を仕掛けるものですが、スピアフィッシングは、特定の個人を標的にしています。メールの送信元は、取引先であったり、上司や同僚といった信用のおける知人であったりします。このことから、スピアフィッシングの攻撃者が企業の運営方法や個人の趣味について熟知していることが伺えます。
産業界全体では、セキュリティ侵害の 91% はフィッシングまたはスピアフィッシングが発端 (英語) です。また、「ベライゾン 2017 年版データ漏洩/侵害調査報告書」によると、14 人に 1 人がフィッシングメールのリンクをクリックしたり、添付ファイルを開いたりした経験があり、そのうち 25% が何度も被害に遭っているといいます。
フィッシング詐欺専用のドメインを設定する手口は、セキュリティメカニズムによって偽物だと見抜かれコンテンツがブロックされるだけなので、一部の攻撃者の間では、そういった手口ではなく、信用できる Web サイトを乗っ取り、フィッシング用のコンテンツを含むページを挿入するという方法が急増しています。
現在、フィッシング攻撃のライフサイクルは短期化しており、フィッシング対策テクノロジがそれに対応し続けるのが困難になっています。

一般的なフィッシング詐欺

フィッシング詐欺にはさまざまな種類がありますが、以下のようなものが一般的です。

資格情報を盗む。攻撃者は情報をのぞき見るために、従業員が会社のリソースにアクセスする際に使用している資格情報など、個人のユーザー名とパスワードを手に入れようとします。
ID を盗む。資格情報や情報を基にして、攻撃者は個人や企業になりすまします。
個人情報を盗む。攻撃者は個人のアカウントの詳細、パスワード、クレジットカード番号、その他の機密情報入手しようとします。

以下はフィッシングのシナリオの例です。

攻撃者は、不特定多数の人々 (スピアフィッシングの場合は一部の人) をターゲットとし、正当なオンラインサービス、販売店、金融機関を装ってメールを送信します。
メールには、悪意のある Web サイトや Web ページへ移動するリンクが含まれている場合、ファイルが添付されている場合などがあります。
受信者がリンクをクリックしたり、添付ファイルを開いたりすると、マルウェアがコンピューターにダウンロードされ、攻撃者がユーザーのネットワークにアクセスできるようになります。別のタイプのマルウェアは、情報を盗んだり (サイバースパイ)、身代金目的でファイルを暗号化したり (ランサムウェア) します。マルウェアが盗み出す資格情報は、複数のアプリに使用されていることが多いため、攻撃者がその資格情報で銀行や販売店の Web サイトにサインインするなど、攻撃範囲は拡大しがちです。

大量かつ巧妙な攻撃に対処できる EOP と Office 365 ATP

フィッシング攻撃はあの手この手で仕掛けられてきますが、それを阻止するのに効果的なのが、検出テクノロジとフィッシング対策テクノロジです。すべてのフィッシング詐欺を阻止できるような万能のソリューションはありません。しかし、Microsoft Office 365 の脅威防御スタックの一部である EOP と Office 365 ATP を利用すれば、大量かつ巧妙化している今日のメールベースのフィッシング攻撃を防ぐことができます。

既知の脅威に対応する EOP: EOP は、大量の攻撃からの保護をサポートするメールフィルタリングサービスです。「既知」のスパム、ウイルス、マルウェアをフィルターで排除します。
未知の脅威に対応する Office 365 ATP: EOP 同様、Office 365 ATP もメールフィルタリングサービスの一種で、両者は緊密に統合されています。Office 365 ATP では、「未知」の脅威からの保護をサポートし、高度に進化したゼロデイ攻撃を阻止します。

EOP と Office 365 ATP は、Windows 10、Windows Defender ATP、脅威の検出と分析をサポートする Office 365 Threat Intelligence (機械翻訳) の脅威エクスプローラー、Azure Security Center といった製品やサービスのセキュリティ機能と連携して機能し、マイクロソフトのフィッシング対策戦略の重要な部分を担っています。

EOP がフィッシングを阻止するしくみ

Office 365 ATP と統合されている EOP は、Office 365 のすべてのメールボックスで利用できます。EOP の機能は次のとおりです。

進化し続ける保護機能: EOP は既知のウイルス、スパム、フィッシング、マルウェア、なりすましから組織を保護します。マルウェア対策スキャンエンジンによって、脅威がネットワークデバイスに侵入する前に、初期段階で検出、ブロックします。
送受信メールのフィルタリング: EOP はスパムメールやウイルスを 99% 以上検出します。フィルター、IP アドレスの拒否/許可リスト、悪意のある URL のブロックリスト、さらには機械学習を用いて、スパムをブロックします。
ゼロアワー自動消去: 継続的なモニタリングや、Office 365 のスパム対策およびマルウェア対策用シグネチャの更新に基づいて、既に受信されているメールに含まれるスパムやマルウェアを検出します。未読メッセージが悪意のあるものとして分類されると、[迷惑メール] フォルダーに移されます。
Microsoft Outlook の安全性に関するヒント: 不審なメールやフィッシングメールの場合、信頼できない差出人から送信されたメールであるというヒントと共に、赤い通知バーがメールの最上部に表示されます。
一般的な悪意のある添付ファイルのフィルタリング: メール管理者は、マルウェアポリシーに設定されているファイルの種類に基づいて、不要な疑わしい添付ファイルを除外できます。
フィッシングに関する報告: Outlook や Outlook.com のレポート メッセージ機能を使用すると、ユーザーからフィッシングについて報告することができます。
社内関係者へのなりすまし対策: なりすましメールの検出率が 500% 以上向上します。メールドメインを偽装してメール受信者と同じ会社の経営陣になりすますタイプのフィッシング攻撃者を想定しています。EOP のなりすまし対策機能は、評価フィルターを使用して、評価の低い IP アドレス、ドメイン、送信者からのメールをブロックします。また精力的に認証確認を行います。

Office 365 ATP がフィッシングを阻止するしくみ

Office 365 ATP は、Office 365 Enterprise E5 の一部として提供されており、スタンドアロンコンポーネントとしても利用できます。フィッシング攻撃のような進化し続ける脅威に大規模に対処するために、次のような機能を備えています。

安全な添付ファイル: 行動分析や機械学習アルゴリズムを用いて未知のマルウェアやウイルスから組織を保護します。
安全なリンク: 悪意のある URL に対してクリック時に保護機能が働きます。
URL デトネーション: 安全な添付ファイル機能と安全なリンク機能を組み合わせて、メール本文にリンクの張られたファイルからユーザーを保護します。
レポートとトレース: 高度な脅威に関して、URL をトレースし、レポートを作成します。
Office 365 ATP の拡張レポート: 組織内で起こっているマルウェアやスパムの傾向を明らかにします。

安全な添付ファイル機能によりゼロデイ攻撃やその他の脅威から保護

安全な添付ファイル機能は、新手の悪意のある添付ファイルを、それらをブロックするための新しいウイルス対策シグネチャが利用可能になる前の段階で検出します。次のようなシナリオを考えてみましょう。

攻撃者が企業を標的として、新しい悪意のある添付ファイルを送信します。EOP はフィルタリング技術を用いて、差出人の IP アドレスやその他のメールヘッダーの調査などを行います。ウイルス対策シグネチャによって攻撃が阻止され、スパム対策フィルターによってスパムが駆除されます。
メールのメッセージまたは添付ファイルが、既知のウイルス対策シグネチャやマルウェア対策シグネチャでブロックされない場合、サンドボックス環境へ振り分けられます。安全な添付ファイル機能が、PDF、Office ドキュメント、実行ファイルといった添付ファイルのデトネーション (サンドボックス内での実行) を行います。悪意のあるコンテンツかどうかは、行動分析や機械学習によって確認されます。
動的配信機能によってメール本文が配信される間、添付ファイルは安全な添付ファイル機能によってスキャンされます。添付ファイルが分析されている間も、メールの受信者はメールを閲覧、返信できます。スキャンが完了し、正当性が確認されれば、添付ファイルは受信者のメールボックスに配信されます。悪意のある添付ファイルであった場合は、駆除されます。

安全なリンク機能により悪意のある URL から保護

ユーザーがメール内のリンクをクリックしたとき、安全なリンク機能では、悪意のあるサイトへ移動しないようにして、ユーザーを保護します。悪意のあるリンクはクリック時にブロックされますが、正当なリンクであればアクセスすることができます。

安全なリンク機能は、ユーザーがリンクをクリックしたタイミングで、悪意のある URL のリストとリンクを照合します。次のようなシナリオを考えてみましょう。

攻撃者がサイトを乗っ取り、安全なサイトのように見える URL を含むメールを送信します。そのため、メールは EOP のフィルターによる初期の評価チェックをすり抜けます。Web サイトは信用できるように見えるため、URL はフィルター処理をすり抜けます。
数分後、元の URL はフィッシングサイトの可能性がある悪意のある Web サイトに変わります。この時点で、メールは既にフィルター処理をすり抜けてしまっています。
安全なリンク機能を有効化していると、URL は EOP の Web サーバーにリダイレクトされるように書き換えられます。この動作は、アクセス許可/禁止 URL のリストに URL を追加することで変更できます。ユーザーのだれかがリンクをクリックした場合、その URL に移動する前に、最新のアクセス許可/禁止 URL リストと照合されます。アクセスが禁止されているリンクの場合、悪意のある Web サイトであることを警告するメッセージが表示されます。

図 1 では、EOP、Office 365 ATP、安全な添付ファイル、安全なリンクによってどのように攻撃への対処がなされているかを示しています。

図 1: EOP、Office 365 ATP、安全な添付ファイル、安全なリンクで攻撃に対処するしくみ

URL デトネーションにより安全な環境でリンクをチェック

URL デトネーションには、安全な添付ファイルと安全なリンクの機能が組み合わせられています。メールにファイルへのリンクが含まれている場合、URL デトネーションは、悪意のあるファイルかどうかを判断するためのサンドボックス技術を用いて、リンク先のファイルを調査します。悪意のあるファイルだと判明した場合、ユーザーのクリック時にそのファイルへのアクセスがブロックされます。

レポートとトレース機能から、実行されたアクション、メッセージ、リンクについての詳細情報を提供

安全な添付ファイルに関するレポートでは、ファイルに対するアクション (ブロック、置換など)、ファイルの種類、データ、差出人、受信者、件名、その他の詳細を確認できます。
安全なリンクに関するレポートでは、迅速な対応策がとれるように、悪意のあるリンクをクリックしたユーザーを確認できます。
URL トレース機能は、悪意のあるリンクを追跡し、標的となっている組織内のユーザーや攻撃の種類を明らかにします。
レポートとメッセージトレース機能は、ウイルスやマルウェアが原因でブロックされたメッセージを調査する際に有用です。

Office 365 ATP 拡張レポートがマルウェアやスパムの傾向を提示

Office 365 セキュリティ/コンプライアンスセンターでは、組織内の傾向を示したセキュリティレポートを提供しています。たとえば、送受信されたマルウェアやスパム、Office 365 で検出、ブロックされた高度な脅威などについて明らかにします。

フィッシングのシナリオ: テクノロジによって脅威を防御

より広い視野で考えると、EOP と Office 365 ATP の機能は、マイクロソフトの広範なセキュリティプラットフォームに欠かせない要素です。このプラットフォームは、Office 365 のセキュリティ機能のほか、Windows Defender ATP、Windows Defender SmartScreen、Windows 10 の Device Guard と Credential Guard、Intune、Azure Security Center といったマイクロソフトの各種テクノロジで構成されます。図 2 は、企業を標的とするフィッシング行為による脅威やマルウェアに対して、これらのテクノロジでどのような保護対策が講じられているかを示しています。上半分に脅威の実態、下半分にテクノロジの機能を示しています。

図 2: Office 365、Windows Defender ATP、Azure Security Center などのテクノロジによるフィッシング攻撃への対策

マイクロソフトにおけるフィッシング対策テクノロジの強化

マイクロソフトでは、継続的にフィッシング対策を強化しています。たとえば、次のようなことを行っています。

メール本文、ヘッダー、URL に含まれるフィッシングのシグナルを検出するための機械学習アルゴリズムを最適化します。Office 365 ATP と EOP を強化するために、マイクロソフトでは URL や添付ファイルからシグナルを抽出しています。これらのシグナルを機械学習モデルに入力し、Web サイトや添付ファイル (PDF など) でのフィッシング行為の検出に活用しています。
フィッシング、マルウェア、なりすましに関するクラスタリングを強化し、パターンや異常の検出能力を改善します。
ドメイン、IP アドレス、差出人、URL の評価リストをリアルタイムに強化します。マイクロソフトでは、業界トップクラスの脅威情報フィードのナレッジも取り入れています。

事例: マイクロソフトのコアサービス & エンジニアリング部門におけるフィッシング対策

マイクロソフトのコアサービス & エンジニアリング部門のデジタルセキュリティ & リスクエンジニアリング (DSRE) チームでは、多面的なアプローチによって今日の複雑なフィッシング攻撃に対処しています。このチームが結成された目的は、マイクロソフト社内のあらゆる情報やサービスが確実に保護されるようにすること、そしてそれらがイノベーションや堅牢なリスク回避フレームワークを通じて適切に利用されるようにすることです。DSRE チームは部門全体、さらには社内全体のセキュリティ戦略を継続的に進化させて、マイクロソフトの資産とお客様のデータを保護しています。

ユーザーとテクノロジを融合した DSRE チームのフィッシング対策

DSRE チームでは対策プロセスの一環として、Office 365 セキュリティスタックの一部である EOP と Office 365 ATP などのテクノロジに備わっているフィッシング対策機能に、従業員、製品グループ、アラート、その他のソースの情報を組み合わせています。このアプローチによって、フィッシング、高度な脅威、マルウェア、ゼロデイ攻撃に対して先制的な対策を講じています。

こうした手法は、戦略的な観点からも、フィッシング行為を詳細に把握するうえで有効です。フィッシング詐欺について従業員を教育し、「不審な場合は報告する」という意識を徹底することで、ネットワーク保護担当者にさらなる情報が伝わるようにし、巧妙化した標的型のスピアフィッシングをはじめとする大規模なフィッシング行為を検出できるようにしています。

従業員の報告手段

フィッシングに関する情報は、次のようなマイクロソフトの従業員からの報告や他のソースから収集しています。

従業員は、フィッシングメールやあらゆるサイバー攻撃のインシデントについて社内ポータルから報告できます。
従業員は、Outlook のレポート メッセージ機能からも報告できます。

フィッシングに関する情報が報告された後の DSRE チームのアクション

報告があった後は、次のように対処します。

DSRE チームは、グループのメールボックスに送られてきた報告を基に、メッセージ、添付ファイル、リンクを分析します。メールの脅威を適切に軽減するために、重大度を判断し、優先順位を付け、エスカレーションを行います。
また、社内のセキュリティ情報およびイベント管理 (SIEM) システムから、フィッシング行為についての情報を入手します。チームは従業員からの報告と SIEM を活用して、調査と対処 (フィッシングサイトについて注意喚起するなど) を行っています。
SIEM は次のように設定しています。
- マルウェアの感染や乗っ取られたアカウントを検出する
- パスワードを盗むトロイの木馬を監視し、対処する
- 資格情報の盗難についてのアラートを発行する
さらに、Windows Defender ATP や Office 365 ATP など、さまざまな製品や製品チームからのシグナルとインテリジェンスも参考にします。

フィッシング対策機能で高度な脅威からの保護を可能に

DSRE チームは、以下のようなテクノロジや機能を活用しています。

EOP: なりすまし、既知のウイルス、スパムの 99% に対処
Office 365 ATP: 悪意のあるリンク、悪意のある添付ファイルを検出し、安全なリンク、安全な添付ファイル、URL トレース、メッセージトレースといった機能でブロックされたメッセージや悪意のあるリンクを追跡
Office 365 セキュリティ/コンプライアンスセンターの脅威エクスプローラー:
- メールやマルウェアを検索し、悪意のあるメールのヘッダーを分析し、フィッシングやマルウェアによる影響を確認
- メールを [迷惑メール] フォルダーに移動するなどの対処を行い、受信者がメールを開封したり、リンクをクリックしたり、添付ファイルを開いたりすることを阻止
- 影響を受けたユーザー、差出人および受信者のメールアドレス、実行されたアクションなどについて、詳細情報を入手
Office 365 セキュリティ/コンプライアンスセンターのコンテンツ検索: 悪意のあるメールの本文を確認し、さらなる分析のために内容をすべて把握 (例: メッセージ内に危険なリンクがないかを確認)

EOP と Office 365 ATP の有用性

EOP と Office 365 ATP は、DSRE チームの戦略全体で重要な役割を果たしています。たとえば、チームでは以下のように利用しています。

EOP のなりすまし対策機能を活用: 会社の業務グループ A のある従業員が、業務グループ B のある従業員から、リンクと添付ファイルを含むメールを受け取ったとします。内部情報または個人情報を問い合わせる内容です。このとき、攻撃者は業務グループ B の従業員になりすましていましたが、どの従業員もそれに気付いていません。グループ A の従業員は差出人のことを知らなかったのか、あるいはこの依頼を不審に思ったのか、メールについて報告を行いました。
それを受けて DSRE チームは、そのアドレスからメールを受け取った者が他にいないか、リンクをクリックしたり添付ファイルを開いたりした者はいないかを確認することができます。EOP では何らかのなりすましの兆候が検出され、メールの最上部に不正なメッセージであることが表示されます。また DSRE チームでは、安全ではないアドレスへのメールは社内の特定のメールボックスに転送されるように、Exchange チームにルールを設定してもらっています。これにより、これらのメールが攻撃者へ送信されないようにし、フィッシング攻撃に遭っている従業員を特定することができます。
リンクや添付ファイルをチェックすることで、攻撃を事前に阻止: 安全ではないリンクや添付ファイルを含むメールには、ゼロデイ攻撃や巧妙なフィッシング詐欺などの高度な脅威が潜んでいる可能性があります。安全なリンク機能を有効化することで、悪意のある URL に対してクリック時に保護機能が働くようにしています。悪意のあるリンクはブロックされますが、正当なリンクにはアクセスすることができます。安全な添付ファイル機能も有効です。既知のウイルスまたはマルウェアのシグネチャを含まなくても、悪意のあるファイルの可能性がある場合、そのファイルは隔離された環境で開かれます。不審な動作が見つからなければ、メッセージは配信されます。一連のプロセスで確認されたことに基づいて、マイクロソフトの組織全体でセキュリティポリシーを適用します。
報告、メッセージ トレース、URL トレースの情報を収集: DSRE チームは、ウイルスやマルウェアが原因でブロックされたメッセージを調査します。差出人、受信者、件名、その他の基準で検索を行います。安全なリンク機能をベースにした URL トレース機能を使用すれば、クリックされた悪意のあるリンクを追跡できます。リンクが含まれているメールは何件か、クリックしたユーザーは何人いるかを確認します。

フィッシング対策戦略のメリット

DSRE チームの広範な脅威防御戦略を形成するテクノロジとプロセスは、次のように多くのメリットをもたらしています。

フィッシングについての深い理解と脅威についての詳細な状況把握: これにより、さらに先制的な対処が可能になります。EOP からのテレメトリ、Office 365 脅威インテリジェンスの脅威エクスプローラー、悪意のあるファイルに対するウイルス検出によって、影響を受けた業務グループや他の受信者を確認できます。傾向を把握する際にも、こうした情報に接している他のチームに協力を依頼する必要はありません。また、さらに機先を制することができるように、不審なメールを受信した特定の業務グループごとに的を絞ったアラート発行やクラスタリングが可能になるように取り組んでいます。
時間の節約と迅速な対処: DSRE チームが自らの力でメールを検索、除去することができます。繰り返しになりますが、他のチームに頼る必要はありません。以前は、フィッシング攻撃の規模によっては、悪意のあるメールの検索やその後のメールストアからの除去に数日かかることもありました。今では、Office 365 で以下のことが可能です。
- チームが自ら悪意のあるメールを検索
- EOP と Office 365 ATP を使用してメールや添付ファイルの状態を判断
- ユーザーが悪意のあるメールを操作しないように、悪意のある添付ファイルを削除、またはメールを [迷惑メール] フォルダーに移動

たとえば、DocuSign に対する大規模なフィッシング攻撃に直面したときでも、攻撃の影響範囲を把握し、脅威インテリジェンス、EOP、Office 365 ATP を使用して 1 時間以内に改善措置を講じることができました。以前なら、数日がかりでユーザーの受信トレイからメールを削除していたでしょう。

また、時間の節約に加えて、脅威に対してより迅速な対処が可能になりました。

手動プロセスの削減: 以前は、標的となったユーザーを確認するために、手動での調査を多く行っていました。今では、テレメトリを事前に入手できるため、手動での作業が大幅に減りました。
メールの調査に必要なツールの削減: 脅威エクスプローラーと Office 365 ATP が統合されているため、脅威に関する詳細を確認してイベントをトリアージする際に、チェックすべき箇所が少なくて済みます。
攻撃の前、最中、後で起こったことについての的確な状況把握: セキュリティプラットフォーム上の各種のテクノロジが統合されているからこそ可能なことです。Windows Defender ATP と Office 365 のサービス (脅威エクスプローラーなど) の統合はその一例です。マルウェアの感染について調査する場合、メールに添付されたファイルが Outlook から保存されたことなど、感染の前に何が起こったかを確認できます。脅威エクスプローラーを使用すると、メールや添付ファイルを調査して、その添付ファイルが感染の原因かどうかを判断できます。実際、あるメールの受信者がランサムウェアに感染したというアラートが Windows Defender ATP から発行されたとき、DSRE チームは Outlook からダウンロードされたファイルにさかのぼって、マルウェアを追跡することができました。

まとめ

ますます巧妙化するフィッシング詐欺、スパム、マルウェアに対して防御を強化するために、マイクロソフトでは継続的にセキュリティ機能を進化させています。すべてのフィッシング詐欺を阻止できるような万能のソリューションはありません。しかし、EOP、Office 365 ATP、安全なリンク、安全な添付ファイル、なりすまし対策といった Office 365 のサービスと機能を含めた、マイクロソフトの広範なセキュリティプラットフォームなら、フィッシング、マルウェア、ゼロデイ攻撃、高度な脅威に対する堅牢な防御が可能です。フィッシング詐欺やその他の攻撃の進化に応じて、マイクロソフトのテクノロジも進化しています。フィッシング対策アルゴリズム、機械学習、クラスタリング、パターン/異常検出などによってセキュリティフレームワークをさらに強化することで、迅速な検出、保護機能の強化、的を絞った対処を実現しています。

詳細情報

マイクロソフト IT ショーケース

microsoft.com/ITShowcase (英語)
Microsoft Office 365

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。