悩み事・作った人に・励まされ
・・・本人自覚ない・・・
ワタスはクラウド上でお仕事etcなんて・・・
Office365アカウント パスワードスプレー攻撃
Office365に対して不正アクセスを受けた云々
昨年もOffice365を採用した大学で不正アクセスが相次ぎ文科省が注意喚起を
Office365はExcelやWordといったオフィス文書を作成するアプリケーションからメール配信まで提供する
企業内で作成されるオフィス文書の大半を保管
サイバー攻撃者にとってOffice365はデータの金庫
Office365はデータの金庫だが、ログイン画面はクラウド上に存
金庫の目の前までは誰でもアクセス可能
クラウドサービスによっては企業独自のログイン用URL等作成することが可能だが、Office365はそれが出来ない
全世界のOffice365ユーザが共通のURLからログイン
サイバー攻撃者がIDとPWさえ知っていれば、簡単に侵入
Office365は非常に多機能で有るため、導入設計の検討要素は広範囲
それらに注力するあまりセキュリティまで手が回らない
不正アクセスを検出する運用等実施されていることは稀
データがクラウドにシフトしてしまったにも関わらず
相変わらず社内サーバ等はFWやIDS/IDPで厳重に守られている
攻撃する側としては・・・
Office365に対する主な不正アクセス手法はKnock Knock攻撃ことパスワードスプレー攻撃
パスワードスプレー攻撃は、非常にゆっくりとした攻撃
特定のIDに一回/日位のペースでログイン試行
一度失敗すると間隔を開けて別のIPアドレスや地域からアクセスを試みる
これをボットを使って、延々と繰り返す
パスワードスプレー攻撃は、非常にゆっくりとログイン試行を繰り返す
連続5回失敗したらアカウントをロックするといったアカウントロックの仕組みでは検出出来ない
IPも毎回変えてくるため、特定IPからのアクセスを禁止するといった制御も回避
通常のユーザのログイン失敗のように見えるためOffice365の監査ログをただ眺めていてもパスワードスプレー攻撃を仕掛けられているとは思わない
そんなサイバー攻撃は我社には無縁?
Office365のIDを乗っ取ることが出来れば、メール送信も行えるようになる
正規ドメインからフィッシングメールを送信することが可能
データ資産に価値は無かったとしても、この正規ドメインからのフィッシングメール送信のために狙われる可能性も
Office365のログインURLまでは誰でもアクセスが可能で有るため
企業ドメインさえ知られていればユーザIDの部分だけを毎回変えて侵入可能なIDを偵察される
ドメイン名は固定で、ユーザID部分のみを変えて不正ログインを試みる
例 test.comという企業を狙う場合
abc.def@test.com
admin@test.com
Office365へのパスワードスプレー攻撃は、CASBで不正アクセスの可視化とSSOソリューション等である程度の対策を行うことは可能
しかし、Office365へのサイバー攻撃は、日進月歩で増殖
各社が競ってOffice365用セキュリティ対策ソリューションを提供しているが
これを導入すれば完璧ですというソリューションは無い
・・・MSさんOffice365使えってしつこいのよ
今日は~
ヤシャゼンマイ
この段階だとゼンマイと同じに見える
0 件のコメント:
コメントを投稿