ビジネスシーンにおいて今なお高い頻度で利用されているメール。その悪用によるサイバー攻撃は多様な手法に及んでいるが、中でもMicrosoft 365のメール機能に関連する脆弱性を狙う攻撃が多い。この記事では、オフィススイートであるMicrosoft 365のメール機能で狙われる脆弱性と、その有効な対策について解説する。
依然として大きな脅威であるメールを起点としたサイバー攻撃
近年、ビジネス上のコミュニケーションツールとして、Microsoft TeamsやSlackなどのコラボレーションツールを利用する企業が増えているものの、社外とのコミュニケーションでは今なおメールが主流だ。実際、ビジネスコミュニケーションに関するさまざまな調査でも、ビジネスにおけるコミュニケーションツールとして、メールの利用率が高いことが明らかになっている。
そして、サイバー攻撃の激化といった影響もあり、スパムメールを含めた企業・組織へ送付されるメールの数は膨大となっている。従業員がその判別を適切に行えず、フィッシングメールなどの悪意のあるメールをうっかり開いてしまったことで、マルウェアに感染するといった被害も後を絶たない。
例えば、史上最凶と言われるマルウェアであり、大きな被害をもたらしたEmotetも、代表的な感染経路はメールであった。また、ランサムウェアはVPN機器の脆弱性を狙った事例が多い傾向にあるが、過去には不審なメールの添付ファイルが要因となったインシデントも確認されている。
企業・組織での主流はMicrosoft 365のメール
メールサービスは運営方法によって、自社でメールサーバーを管理するオンプレミス型とクラウドメールサービスを利用するクラウド型に大別できる。近年、企業・組織のメール環境はオンプレミス型からMicrosoft 365やGoogle Workspaceといったクラウドメールサービスへシフトしている。WordやExcelなどを業務利用している経緯もあり、Microsoft 365(Outlook)を選択している企業は多い。
図1:勤務先のメール環境実態
キヤノンMJが2023年4月から6月にかけて行ったアンケート調査によると、図1のように、メール環境としてMicrosoft 365(Outlook)を利用している企業が60%、Google Workspace(Gmail)を利用している企業が13%であった。過去には、オンプレミスでメールサーバーを社内運用している企業も多かったが、コロナ禍の影響やテレワークなどの働き方の多様化を受けたクラウドシフトの流れにより、メール環境をクラウドへと移行する企業が増えているものと思われる。
Microsoft 365標準搭載のセキュリティ機能とは
先述のとおり、Microsoft 365メールを利用する企業は増えている。しかし、フィッシングメールや標的型攻撃、スパムメールといった外部から送られてくるメールによる脅威に備えたセキュリティツールを導入している企業は多くない。先ほどのキヤノンMJの調査結果によれば、図2のとおり、外部脅威対策をすでに導入している企業は31%に過ぎず、1年以内に導入予定があると答えた企業を含めてもその比率は40%に満たないことがわかる。
図2:外部脅威対策の導入状況
外部脅威対策を導入していない企業では、Microsoft 365に標準搭載されているセキュリティ機能を利用していることになる。Microsoft 365では、「Microsoft Exchange Online」というプラットフォーム上でメールや予定表などを管理する仕組みになっている。
このMicrosoft Exchange Onlineに標準搭載されているセキュリティ機能が「Microsoft Exchange Online Protection(以下、EOP)」だ。EOPは、スパムメールやマルウェア感染を狙うメールの脅威からMicrosoft Exchange Onlineを保護するものであり、以下4つのステップで処理を進める。
1)接続フィルター
受信したメッセージの送信者情報をベースに送信されたメールの安全性を確認し、スパムメールのほとんどはこの時点で削除される。
2)マルウェア対策
マルウェアの検査が行われ、メッセージまたは添付ファイルにマルウェアが検出された場合、メッセージは隔離される。既定の設定では、管理者のみが隔離されたメッセージの表示や操作が可能になる。
3)メールフロールール
事前に作成した「メールフロー(トランスポート)ルール」にもとづき、メッセージの評価・対応が行われる。例えば、特定の送信者からメッセージが来たときに、管理者に通知を送信するといったことが可能だ。
4)コンテンツフィルター
フィッシングメールやスパムメールを判別するコンテンツフィルターによって、危険ではないメールかどうか判断される。
これらの4つのステップをすべてパスしたメッセージのみが、受信者に配信されることで安全性を担保している。このEOPは標準で利用できるセキュリティ機能であり、一通りの機能を備えているが、EOPによる保護だけでは限界もある。また、Microsoft 365の選択プランによってはサンドボックスを利用できないため、未知のマルウェアへの対処が難しいという欠点もある。
ほかにも、なりすましメールへの対策も十分とは言い切れない。ビジネスメール詐欺(BEC)やメールアカウント侵害(EAC)は、「不正なファイルやURLが添付されるとは限らないメール攻撃」であり、EOP標準機能のパターンマッチング方式によるメールフィルタリングをすり抜けてしまう可能性があるからだ。
トレンドマイクロ社の調査によると、2021年にMicrosoft 365のEOPをすり抜けてTrend Micro Cloud App Securityで検知された脅威の数は約2,570万件にも達するとされる。
Microsoft 365のセキュリティを高めるための対策
このように高度化・巧妙化しているサイバー攻撃による被害を防ぐためには、Microsoft 365標準のEOPを補完するための対策が必要となる。以下、どのような対策が必要かを解説する。
1)メール運用ルールの策定
パスワードを強固なものにしたり、迷惑メール以外の受信した全メールを保存したりするなど、メール運用ルールを策定し、従業員に遵守させる。
2)メールリテラシー向上
怪しいメールに添付されているファイルやメール本文内のURLをクリックしないといった、メールリテラシーを向上させる。そのための社内での研修や訓練も有効だ。
3)メール本文、添付ファイル内のURLのチェック
メール本文や添付ファイル内に含まれるURLの検査を行い、不審なURLが含まれていた場合にはメールを削除、または隔離する。
4)スパムメールの判定、隔離
メール本文の検査を行うことで、ビジネスメール詐欺(BEC)やランサムウェア、フィッシングメール、そのほかのスパムメールを検出し、隔離する。
5)不正なプログラムの検知
メールに添付されているファイルの検索を行い、不正なプログラム(マルウェア)を検知する。マルウェアが検知されたら、それらを駆除するか、メールやファイルを隔離する。
6)サンドボックスの活用
仮想環境上でプログラムを実行することで、安全にプログラムの挙動を確認する技術をサンドボックスと呼ぶ。サンドボックスを活用することで、未知のウイルスであっても高い確率で検出できる。
こうしたメールセキュリティ対策を構築するためには、もはやセキュリティソリューションは欠かせなくなっている。「GUARDIANWALL Inbound Security for Microsoft 365(以下、IS365)」では、比較的導入が容易でありながら、先述のメールセキュリティ対策を実現できるソリューションである。
図3:さまざまな機能で高度なメールセキュリティを実現
IS365の主な特長として、以下の3つが挙げられる。
1)導入が容易
クラウド上に構築されており、Microsoft 365とAPIにて通信を行うため、メール通信の経路など、既存の環境を変更する必要がなく、比較的容易に導入できる。
2)運用が容易
API連携によって、Microsoft 365のユーザーおよびグループ情報を自動取得できるため、管理者の運用負担を軽減する。特定部門のみテスト導入するといったスモールスタートも可能だ。
3)高度なセキュリティ対策を実現
Webレピュテーション機能やスパム対策機能、不正プログラム対策機能といったさまざまな機能によって、多層防御が可能であり、高度なメールセキュリティを実現する。
IS365を導入することでMicrosoft 365、Google Workspaceなどを利用している企業・組織における、クラウドメールサービスのセキュリティは確実に強化される。しかし、十分なセキュリティを担保するための第一歩は、従業員のセキュリティリテラシー向上であることは言うまでもない。セキュリティソリューションの導入だけでなく、従業員に対する継続的な教育や啓蒙活動も適切に実施するようにしてほしい。
