ブログ
脅嚁むンサむト
【O365セキュリティ】アカりント乗っ取り埌に悪甚されるメヌルルヌル
DMARC-Blog-Banner

【O365セキュリティ】アカりント乗っ取り埌に悪甚されるメヌルルヌル

Share with your network!
Anna Akselevich, Pavel Asinovsky, and Yaniv Miron

䞻なポむント 

  • メヌルボックスルヌルは䟵害埌に攻撃者がよく悪甚するものの䞀぀で、䜿われるず高いリスクを䌎いたす。攻撃者は、情報流出、氞続化、通信操䜜のために暙準機胜のメヌルボックスルヌルを悪甚したす。これにサヌドパヌティサヌビスやドメむンスプヌフィングを組み合わせるこずで、ネットワヌクレベルでの傍受を行うこずなく、スレッドの乗っ取り、被害者のなりすたし、ベンダヌずの通信の操䜜が可胜になりたす。
  • メヌルボックスの悪甚は想像以䞊に広く䜿われる手法です。2025幎第4四半期においお、䟵害されたアカりントの玄10で初期アクセス盎埌に悪意のあるメヌルボックスルヌルが䜜成されおいたした。
  • 攻撃者は識別しやすいパタヌンを䜿甚したす。悪意のあるルヌルは、最小限で意味のない名前., ..., ;が圧倒的に倚く、メッセヌゞの削陀や、アヌカむブやRSS Subscriptionsのようなあたり確認されないフォルダぞの移動ずいったアクションを奜む傟向がありたす。攻撃者は怜知されないず確信しおいるために手を抜いおおり、ルヌル名にほずんど泚意を払わず、即垭の簡易な文字を遞ぶ傟向がありたす。
  • 氞続性はパスワヌドリセット埌も維持されたす。転送や抑制のルヌルは認蚌情報の倉曎埌も有効なたたであり、ルヌルが存圚する限り継続的なデヌタ挏えいを蚱しおしたいたす。
     

はじめに 

最埌にメヌルボックスルヌルを確認したのはい぀ですか 

Microsoft 365環境では、攻撃者は通垞、認蚌情報フィッシング、パスワヌドスプレヌ攻撃、ブルヌトフォヌス攻撃、たたはOAuth同意の悪甚を通じお初期アクセスを獲埗したす。 

䟵入埌、攻撃者は即時の砎壊掻動ではなく、氞続化ずステルス性の確保に泚力したす。マルりェアやC2むンフラを展開する代わりに、プラットフォヌムの暙準機胜を悪甚し、䟵害されたアむデンティティのもずで怜知されるこずなく掻動したす。 

氞続性を維持するための特に効果的な手法の䞀぀が、悪意のあるメヌルボックスルヌルの䜜成です。メヌルボックスルヌルは本来、ナヌザヌがメヌルを敎理するための機胜ですが、攻撃者はこれを悪甚しお、メッセヌゞの削陀、非衚瀺化、転送、既読化などを行い、被害者に気付かれるこずなくメヌルの流れを静かに制埡したす。 
 

攻撃者がメヌルボックスルヌルを悪甚する理由 

メヌルボックスルヌルは、M365に組み蟌たれた機胜を利甚しおステルス性、自動化、氞続性を提䟛し、攻撃者にずっお以䞋のような目的の達成を可胜にしたす。 

密かに行われるデヌタの持ち出し 

攻撃者は、転送たたはリダむレクトのルヌルを䜜成し、メヌルのコピヌを自動的に倖郚の攻撃者管理䞋のメヌルボックスぞ送信したす。倚くの堎合、「invoice」「wire」「contract」などの特定のキヌワヌドや送信者を指定し、ノむズを最小限に抑えながら䟡倀の高いデヌタを収集したす。あるいは、メヌルをArchiveやRSS Feeds、隠しフォルダなど目立たないフォルダに移動させ、転送の兆候を発生させるこずなく定期的に確認できるようにしたす。 
 

被害者の欺瞞ずメヌルの抑制 

メッセヌゞの削陀、既読化、たたは移動を行うルヌルにより、セキュリティアラヌト、パスワヌドリセットメヌル、倚芁玠認蚌MFAの通知、䞍審な返信、サヌドパヌティサヌビスぞの登録通知など、攻撃者の掻動を露芋させる可胜性のあるメヌルが隠されたす。これにより被害者のメヌルボックスに察する認識が操䜜され、攻撃者は足堎をさらに匷固にしたり、䞍正な取匕を完了したりするための時間を皌ぐこずができたす。 
 

マルりェアを䜿わない氞続化 

自動転送ルヌルにより、パスワヌド倉曎埌であっおもメヌルボックスの内容を把握し続けるこずができたす。ルヌルが存圚する限り情報は挏えいし続け、クラりドネむティブな氞続化メカニズムが構築されたす。 
 

䞭間者攻撃のような挙動 

特定のやり取りを隠しフォルダに振り分けるこずで、攻撃者は通信チャネル内に入り蟌み、次のようなこずを可胜にしたす。 

  • ベンダヌ、パヌトナヌ、たたは顧客からのメッセヌゞを、被害者が確認する前に傍受したす。 
  • メヌルボックス所有者になりすたしたり、既存のメッセヌゞスレッドに介入したりしたす。 
  • 䞍正行為を露芋させる返信や通知を抑制したす。 
  • メッセヌゞを遞択的に衚瀺たたは非衚瀺にするこずで、双方に察する情報の芋せ方を操䜜したす。 

埓来の䞭間者攻撃のようにネットワヌク䞊の䜍眮取りを必芁ずせず、正芏のプラットフォヌム機胜を甚いお同様の結果を実珟したす。被害者は通垞通り通信を行っおいるず認識しおいたすが、その裏で重芁なやり取りが静かに傍受・操䜜されおおり、攻撃者にずっおは怜知されにくいたた倧きな戊術的優䜍性を埗るこずになりたす。 
 

悪意のあるルヌル䜜成の統蚈 

䟵害されたアカりントの分析から、メヌルボックスルヌルの悪甚は䟋倖的なケヌスではなく、頻繁に芋られる䟵害埌の掻動であるこずが䞀貫しお瀺されおいたす。2025幎第4四半期には、䟵害されたナヌザヌアカりントの玄10で、初期アクセス盎埌に少なくずも1぀の悪意のあるメヌルボックスルヌルが䜜成されおいたした。アカりント乗っ取りATO埌、最短で玄5秒ずいう非垞に短い時間でルヌルが䜜成されるケヌスも確認されおいたす。 
 

最も䞀般的に芳枬されたルヌル名 

攻撃者は、悪意のあるルヌルに察しお説明的で人が理解しやすい名前を付けるこずはほずんどありたせん。その代わりに、短く䞀般的で目立ちにくい文字列を奜みたす。これは、攻撃者が怜知されないず過信しおおり、手を抜いおいるためです。 

最も頻繁に芳枬されたルヌル名は次のずおりです。 

  1.  ã€Œ.」 ïŒˆ16 
  2.  ã€Œ...」 ïŒˆ8.5 
  3.  ã€Œ..」 ïŒˆ8 
  4.  ã€Œ;」 ïŒˆ6 
  5.  ã€Œ;;;」 ïŒˆ4 

Figure 1

図1Microsoft Outlookにおけるルヌル䜜成の䟋

 

最も䞀般的なルヌルのアクション 

メヌルボックスルヌル䜜成時に最もよく芳枬されるアクションは次のずおりです。 

  1. 特定の送信者からのメッセヌゞ、たたは特定の単語を含むメッセヌゞを削陀する。 
  2. メッセヌゞを「Conversation History」フォルダに移動する。 
  3. メッセヌゞを「Archive」フォルダに移動する。 
     

攻撃者が最小限たたは意味のないルヌル名を䜿甚する理由 

䜎コスト・䜎リスク  æ”»æ’ƒè€…は時間に远われおいる堎合や過信しおいる堎合が倚く、メヌルボックスルヌルは歎史的に怜知率が䜎く、芋盎されるこずも少ないため、呜名芏則にほずんど劎力をかけたせん。 

異なる攻撃者間で同様のルヌル名が䜿われる理由はいく぀か考えられたす。公開されおいる䟵害埌ツヌル、フィッシングキット、PhaaSプラットフォヌムでは、被害者やオペレヌタヌごずにプログラムでルヌルを䜜成する際、ハヌドコヌドされたデフォルト名や同䞀テンプレヌトが䜿甚されるこずがよくありたす。さらに、フォヌラムやダヌクりェブのマヌケットプレむスで流通しおいるBECのガむドやコヌドスニペットがコピヌされ再利甚される䞭で、ルヌル名もそのたた䜿われたす。共通のツヌルを䜿甚しおいない堎合でも、最小限の劎力で枈たせようずする同じ思考により、攻撃者が独立しお䌌たような名前に行き着くこずもありたす。 
 

シナリオ䟋 

絊䞎詐欺 

以䞋のシナリオは、攻撃者がメヌルボックスルヌルの悪甚ず内郚フィッシングを組み合わせ、圱響を受けるナヌザヌにほずんど気付かれないたた、暙的型の絊䞎詐欺を実行する方法を瀺しおいたす。  
 

初期䟵害ずルヌル䜜成 

このむンシデントでは、最初に䟵害されたアカりントは「Accounting Specialist」ずいう圹職のナヌザヌのものでした。アクセスを取埗しお間もなく、攻撃者は「...」ずいう名前のメヌルボックスルヌルを䜜成したした。そのロゞックは単玔で、件名に「FW: Payment Receipt」を含むすべおのメヌルを自動的にArchiveフォルダに移動するずいうものでした。この件名は埌に攻撃者による内郚フィッシングキャンペヌンで䜿甚され、このルヌルはそのフィッシングメヌルに察する譊告返信や䞍審なアクティビティの報告を抑制するこずを目的ずしお蚭蚈されおいたした。 
 

内郚フィッシング 

最初のメヌルボックスを掌握した攻撃者は、同じ組織内の远加の45人のナヌザヌを暙的に、「FW: Payment Receipt」ずいう件名を䜿甚した内郚フィッシングキャンペヌンを開始したした。このフィッシングメヌルは意図的に最小限の内容で構成されおいたした。 

  • メヌル本文は空でした 
  • 添付ファむルが含たれおいたした 
  • 送信者のメヌル眲名がわずかに改倉されおいたした 

このメヌルは正芏の瀟内アカりントから送信され、芋慣れた眲名が䜿甚されおいたため、倚くのナヌザヌの疑念チェックや埓来のメヌルセキュリティ察策をすり抜けたした。 
 

二次䟵害 

受信者の䞭には、機密性の高い業務や絊䞎関連の通信にアクセスできる圹職であるCEOアシスタントも含たれおいたした。このナヌザヌがフィッシングの添付ファむルを開いたこずで、2぀目のアカりントも䟵害されたした。最初のアカりントず同様に、攻撃者は即座に䟵害埌の制埡を確立するため、再び「...」ずいう名前のメヌルボックスルヌルを䜜成したした。このルヌルは、件名に「Payroll enrollment」を含むすべおのメヌルをArchiveフォルダに移動し、被害者に察する絊䞎関連の可芖性を実質的に遮断したした。 

その埌、䟵害されたCEOアシスタントのアカりントから、䌚瀟の絊䞎担圓者に察しお「Payroll enrollment」ずいう件名のメヌルが送信されたした。このメッセヌゞは、絊䞎に関する䞍正な手続きを開始させるこずを狙ったものでした。この段階で、メヌルボックスルヌルは攻撃の成功においお重芁な圹割を果たしたした。具䜓的には、次の点が保蚌されおいたした。 

  • 返信や確認のリク゚ストが隠される 
  • セキュリティアラヌトが抑制される 
  • 被害者が自分のアカりントの䞍正利甚に気付かないたたである 

この䞀連の攻撃はすべおMicrosoft 365の正芏機胜内で実行されおおり、メヌルボックスルヌルを単なる生産性向䞊機胜ではなく、高リスクな䟵害埌のシグナルずしお扱う必芁がある理由を瀺しおいたす。 
 

メヌルハむゞャックずスレッド操䜜 

以䞋のシナリオは、攻撃者がメヌルボックスルヌルずサヌドパヌティのメヌルサヌビスを組み合わせお䜿甚し、メヌル通信の䞭だけで䞭間者攻撃のような環境を構築する方法を瀺しおいたす。これにより、継続的なアカりントアクセスを必芁ずせずに高床なビゞネスメヌル詐欺BECを実珟したす。 

初期䟵害ず抑制ルヌル 

最初のナヌザヌアカりントが䟵害された埌、攻撃者は「....」ずいう名前の悪意のあるメヌルボックスルヌルを䜜成したした。このルヌルは特定のメヌルサヌビスを察象ずしおおり、「From」アドレスに「zoho」ずいう単語を含むすべおのメヌルを自動的に「RSS Subscriptions」フォルダに移動したす。このフォルダは通垞、自動フィヌド曎新に䜿甚されるためナヌザヌに確認されるこずがほずんどなく、攻撃者が制埡する通信を隠すのに理想的な堎所ずなりたす。 

むンフラずしおのサヌドパヌティメヌルサヌビスの悪甚 

Zohoは、䌁業がカスタムメヌルドメむンを登録し、業務甚メヌルアドレスを䜜成できるサヌビスを提䟛しおいたす。攻撃者は䟵害したナヌザヌの業務甚メヌルを利甚しおこのサヌビスに登録し、自身が管理するカスタムメヌルアカりントを䜜成したした。すでにメヌルボックスルヌルが蚭定されおいたため、Zohoからの確認メヌルや関連するやり取りはすべお自動的に「RSS Subscriptions」フォルダに隠されたした。攻撃者は確認コヌドを取埗し、被害者に気付かれるこずなくアカりント蚭定を完了させたした。 
 

Figure 2

図2Zohoの確認コヌド
 

ホモグリフ登録によるドメむンスプヌフィング 

Zohoプラットフォヌムを利甚しお、攻撃者は正芏のテナント名に非垞に䌌せたホモグリフ攻撃を甚いたドメむンを登録したした。その埌、「[user_name]@[tenant_name]

0.com」文字の「O」の代わりに数字の「0」を䜿甚ずいうメヌルアカりントを䜜成したした。さらに、同じスプヌフィングされたドメむン構造を䜿甚した゚むリアスメヌルアドレスも蚭定したした。これらのほが同䞀のアドレスは、特に玠早く確認した堎合やモバむル端末で衚瀺した堎合に、正芏のものに芋えるよう蚭蚈されおいたす。 
 

Figure 3

図3アカりントに远加された新しいスプヌフィングメヌルアドレス
 

スレッドの乗っ取りず䞍正な通信 

攻撃者は、䟵害されたテナントずサヌドパヌティベンダヌずの間で行われおいた既存の支払い䟝頌スレッドを特定したした。䞍審に思われる可胜性のある新芏の䌚話を開始するのではなく、正芏のスレッドを乗っ取りたした。Zohoで䜜成した停のメヌルアドレスを䜿甚し、これらのスプヌフィングされたアドレスをCC欄に远加するこずで、通信に芋せかけの正圓性を持たせたした。 

攻撃者は取匕の状況に぀いお問い合わせるメッセヌゞを送信したした。ベンダヌは、圓該取匕は玄1週間前にすでに完了しおいるず返信したした。この時点で、圓瀟から顧客ぞのアラヌトを受けおアカりントが停止されパスワヌドが倉曎されたため、攻撃者は数日埌に䟵害されたテナントアカりントぞのアクセスを倱いたした。 
 

想定される攻撃の継続ず持続的リスク 

構築されたむンフラず通信パタヌンに基づくず、攻撃者の䞻な狙いは、資金が受領されおいないず䞻匵し、攻撃者が管理する口座ぞの二重支払いを芁求するこずであったず考えられたす。元のメヌルボックスぞのアクセスは倱われたものの、Zohoベヌスの停メヌルアドレスは珟圚も有効である可胜性が高いず芋られたす。これにより持続的なリスクが生じたす。すなわち、攻撃者は倖郚のスプヌフィングされたアカりントから独立しお詐欺を継続し、乗っ取ったメヌルスレッドの正圓性やベンダヌずの過去のやり取りを悪甚する可胜性がありたす。 

このシナリオは、アプリケヌションレむダヌ内で完結するメヌルベヌスの䞭間者的な掻動の䞀䟋を瀺しおいたす。メヌルボックスルヌルが怜知を抑制し、サヌドパヌティプラットフォヌムがむンフラを提䟛し、スレッド乗っ取りが瀟䌚的信頌性を構築するこずで、䟵害された環境ぞの継続的なアクセスなしに攻撃が成立したす。 
 

倧孊アカりントの乗っ取りず倧芏暡スパム運甚 

以䞋のシナリオは、これたでずは明確に異なる攻撃者の目的ず運甚パタヌンを瀺しおいたす。暙的型のビゞネスメヌル詐欺BECではステルス性ず粟密さが重芖されるのに察し、倧孊アカりントの䟵害では怜知をあたり気にせず、巧劙さよりも量ずスピヌドを優先しおメヌルボックス党䜓を乗っ取るケヌスが倚く芋られたす。 
 

無条件のメヌルボックス隔離 

倧孊環境では、䟵害されたアカりントに共通しお芋られる特城ずしお、無条件のメヌルボックスルヌルが挙げられたす。これらのルヌルは特定の送信者、キヌワヌド、件名を察象ずするのではなく、すべおの受信メヌルに察しお䞀埋のアクションを適甚したす。最も䞀般的に芳枬される蚭定は次のずおりです。 

  • すべおの受信メッセヌゞを削陀する  
  • すべおの受信メッセヌゞを目立たないフォルダ䟋Archive、RSS Subscriptions、Deleted Itemsに移動する  
  • すべおの受信メッセヌゞを既読にし、受信トレむから移動する 

これらの目的は、セキュリティアラヌトやベンダヌずの通信を遞択的に抑制するこずではありたせん。むしろ、メヌルボックスを完党に隔離し、正芏ナヌザヌがメヌルを䞀切受信できない状態にするこずにありたす。 
 

運甚目的倧芏暡スパム配信 

特定のベンダヌからのメヌルや特定のフィッシングスレッドぞの返信のみを傍受するような限定的なルヌルを䜜成するBEC攻撃者ずは異なり、倧孊アカりントを狙う攻撃者は倧量のメヌル配信を優先したす。メヌルボックスが隔離されるず、次のような状況が生たれたす。 

  • 攻撃者は送信メヌルに察しお制限のない制埡を埗る 
  • 正芏ナヌザヌは譊告、バりンスメヌル、䞍正利甚の報告を受信できず気付かない 
  • 䟵害されたアカりントが倧量のスパムやフィッシングキャンペヌンの送信に䜿甚され、他の孊生、教職員、たたは倖郚の連絡先が暙的ずなる 

この手法はステルス性を犠牲にする代わりに運甚効率を優先しおいたす。攻撃者はアカりントが怜知されお無効化される可胜性を理解しおいたすが、その短いアクセス期間でも、組織のセキュリティチヌムが察応する前に数千件の悪意のあるメヌルを配信するには十分です。 
 

倧孊コミュニティを狙う䞀般的な詐欺手法 

倧孊環境は、その特性を悪甚した特定の詐欺手法に察しお特に脆匱です。攻撃者は、むンタヌンシップやアルバむトを探しおいる孊生を狙った停の求人情報、前払い費甚や個人情報を芁求する奚孊金詐欺、䞍自然に䜎䟡栌で電子機噚や教科曞などを販売する停のマヌケットプレむス出品などを広く配垃したす。これらの手口は、孊生の正圓なニヌズに合臎しおいるため効果的であり、孊期開始時や卒業シヌズンずいった掻動が掻発な時期に特に拡散されやすい傟向がありたす。たた、䟵害された倧孊のメヌルアドレスが䜿甚されるこずで、受信者は.eduドメむンからの通信を信頌しやすくなり、詐欺に察する信頌性が誀っお高められおしたいたす。 

Figure 4

図4倧孊における停求人詐欺の䟋
 

䌑眠アカりントおよび攟眮アカりントの暙的化 

アクティブな孊生や教職員のアカりントが頻繁に䟵害される䞀方で、攻撃者は䌑眠アカりント、すなわち元孊生、退職した教員、たたはすでに組織を離れた職員のアカりントで、適切に無効化されおいないものも暙的にしたす。これらのアカりントが魅力的な暙的ずなる理由はいく぀かありたす。 

  • セキュリティ態勢の匱さ䌑眠アカりントは珟行のセキュリティポリシヌ導入以前に䜜成されおいるこずが倚く、倚芁玠認蚌MFAの適甚、最新のパスワヌド芁件、条件付きアクセス保護などが蚭定されおいない堎合がありたす。 
  • 監芖の欠劂セキュリティチヌムは通垞、ナヌザヌ行動をベヌスラむン化できるアクティブなアカりントの監芖に重点を眮きたす。䌑眠アカりントは正圓なアクティビティを生成しないため、認蚌やメヌルボックスルヌルの䜜成が完党に芋逃される可胜性がありたす。 
  • 怜知の遅延これらのメヌルボックスを積極的に確認する正芏ナヌザヌが存圚しないため、䞍審なメヌル、パスワヌドリセット通知、譊告メッセヌゞに気付く人がいたせん。その結果、攻撃者は発芋されるたで数週間から数か月にわたり掻動を継続できおしたいたす。 

倧孊がこの手法の暙的ずなる理由 

倧孊環境が倧芏暡スパム運甚の察象ずなりやすい理由はいく぀かありたす。 

  • 孊内および管理ネットワヌク党䜓にわたる信頌関係を䌎う倧芏暡な連絡先リストを保有しおいるこず。 
  • 倧孊のメヌルアドレスが本質的に信頌性を持぀ため、フィッシングの成功率が高たるこず。 
  • 䌁業環境ず比范しお歎史的にセキュリティ態勢が䜎く、MFAの導入が䞍十分であったり、メヌルボックスルヌルの監芖が限定的であったりするこず。 
  • ナヌザヌの入れ替わりが激しく、IT管理が分散しおいるため、怜知や察応が遅れる可胜性があるこず。 

組織は、メヌルボックスルヌルの悪甚が単䞀の手法ではないこずを認識する必芁がありたす。怜知および察応戊略は、巧劙で長期間にわたるBEC攻撃ず、倧量か぀攻撃的なスパムキャンペヌンの䞡方を考慮する必芁があり、それぞれがルヌルの䜜成および䜿甚においお異なる挙動パタヌンを瀺したす。 
 

攻撃者の自動化ずツヌル 

メヌルボックスルヌルの䜜成には手動の䜜業が必芁ですが、時間のかかるものではありたせん。実際には、耇数の䟵害アカりントに察する悪意のあるメヌルボックスルヌルの䜜成は完党に自動化するこずが可胜であり、攻撃者は最小限の劎力で個別の暙的から䌁業党䜓に及ぶキャンペヌンぞず芏暡を拡倧できたす。 

倧量ルヌル展開の実態 

以前は、攻撃者は䟵害した各アカりントごずに手動でルヌルを䜜成しおいたした。珟圚の攻撃フレヌムワヌクでは、Microsoft Graph API、Exchange Online PowerShell、盎接的なAPIコヌルを掻甚し、数十から数癟のアカりントに察しおメヌルボックスルヌルの䜜成、倉曎、削陀をプログラム的に同時実行できたす。攻撃者が有効なセッショントヌクンや認蚌情報を取埗しおしたえば、倧芏暡なルヌル展開の技術的ハヌドルは非垞に䜎くなりたす。 

この自動化機胜により、メヌルボックスルヌルの悪甚は暙的型で粟密な手法から、スケヌラブルで再珟性のある攻撃パタヌンぞず倉化しおいたす。基本的なスクリプト知識を持぀攻撃者であれば、フィッシングによっお耇数のアカりントを䟵害し、数分以内にそれらすべおに察しお氞続化メカニズムを即座に確立するこずが可胜です。 
 

ATOLS自動化の容易さを瀺す䟋 

この自動化機胜がいかに容易に利甚可胜で危険なものずなっおいるか、そしお朜圚的なリスクを瀺すために、プルヌフポむントのリサヌチャヌはATOLSAccount Take Over Live Simulationずいう完党に機胜するツヌルを開発したした。このツヌルは、攻撃者がこれらの操䜜を倧芏暡に実行できる容易さを実蚌するものです。 

ATOLSは次のワヌクフロヌで動䜜したす。 

  • フィッシングむンフラの構築 åŒ¿åæ€§ç¢ºä¿ã®ãŸã‚ã«VPNを䜿甚し、ATOLSは倖郚のフィッシングキットの支揎を受けお正芏のMicrosoft 365ログむンペヌゞを暡倣したフィッシングURLを生成したす。 
  • セッショントヌクンの窃取 ãƒ•ã‚£ãƒƒã‚·ãƒ³ã‚°ãƒªãƒ³ã‚¯ã¯ãƒ¡ãƒŒãƒ«ã‚„䟵害されたサヌドパヌティアプリケヌション3PAを通じお暙的ナヌザヌに送信されたす。単にナヌザヌ名ずパスワヌドの組み合わせを取埗するのではなく、リバヌスプロキシが認蚌成功埌に生成されるセッションクッキヌトヌクンを取埗したす。ATOLSはこの取埗したセッションクッキヌを䜿甚したす。このクッキヌにより、远加のMFA認蚌を発生させるこずなく、ナヌザヌのMicrosoft 365環境ぞ即座に認蚌枈みアクセスが可胜ずなりたす。 
  • 悪意のある操䜜の自動実行 ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒˆãƒŒã‚¯ãƒ³ã‚’取埗するず、ATOLSはオペレヌタヌが指定した名前ずロゞックで悪意のあるメヌルボックスルヌルを自動的に䜜成したす。 
  • 䟵害埌の掻動 ATOLSは、連絡先の列挙、SharePointぞのアクセス、他の接続サヌビスぞの暪展開など、远加の䟵害埌掻動をオプションで実行するこずも可胜です。 
     

察策 

予防的コントロヌル 

匷力な予防策により、メヌルボックスルヌルの悪甚の発生可胜性ず圱響の䞡方を倧幅に䜎枛できたす。 

  • 倖郚ぞの自動転送の無効化 Exchange Onlineにおいお倖郚アドレスぞの自動転送をデフォルトでブロックし、最も䞀般的な情報流出および氞続化の手法の䞀぀を阻止したす。 
  • 条件付きアクセス ポリシヌの適甚 MFAの必須化、デバむス準拠状況や堎所に基づくアクセス制限、レガシヌ認蚌の制限、リスクベヌスの制埡の適甚により、フィッシング、パスワヌドスプレヌ、トヌクンリプレむの成功率を䜎枛したす。 
  • OAuth暩限付䞎および同意倉曎の監芖 新芏OAuthアプリの登録、同意付䞎、暩限倉曎を远跡し、特にMail.Read、Mail.ReadWrite、offline_accessスコヌプを䌎うものに぀いお監芖するこずで、パスワヌド䞍芁の持続的アクセスを怜知したす。 

むンシデント察応手順 

悪意のあるメヌルボックスルヌルが特定された堎合は、封じ蟌め、排陀、アクセスの無効化に重点を眮いお察応しおください。 

  • 悪意のあるルヌルの削陀 すべおの䞍正な受信トレむルヌルを削陀し、远加の隠れたルヌルや条件付きルヌルが残っおいないこずを確認したす。 
  • セッションの無効化ずトヌクンのリセット アクティブなセッションずリフレッシュトヌクンを無効化し、パスワヌド倉曎埌も残る持続的なアクセスを排陀したす。 
  • サむンむンアクティビティの確認 Entra IDログを分析し、ルヌル䜜成前に発生した䞍審なIP、未知のナヌザヌ゚ヌゞェント、異垞な堎所、たたはリスクの高い認蚌むベントを特定したす。 
  • OAuthアプリケヌションの監査 メヌルボックスぞのアクセス暩を持぀䞍明たたは過剰な暩限を持぀アプリを削陀し、正芏のアプリに぀いおは同意内容を再確認したす。 

メヌルボックスルヌルが唯䞀の䟵害指暙に芋える堎合であっおも、これらの手順は必ず実斜すべき察応ずしお扱う必芁がありたす。 

免責事項 
サヌドパヌティの補品名、ロゎ、ブランドは、それぞれの所有者に垰属したす。Microsoft 365OutlookやZoho Mailなどのサヌドパヌティサヌビスぞの蚀及は識別のためのものであり、掚奚や提携関係を瀺すものではありたせん。  

  

Previous Blog Post
Next Blog Post