Microsoft 365 Security Blog にてサインイン画面を偽装したタイプのフィッシングの手法について、詳細な方法が記されていました。
以下がその縮図で、攻撃者はフィッシングメールを用いて偽の認証画面へ誘導。
その偽の認証画面では本物のサインイン画面へ認証情報を渡し、その戻りとなる cookies 情報を攻撃者に渡してアクセスを継続するという方法で突破するといった流れとなるとのこと。
その際のサインイン画面は Proxy になるため、当然フィッシングサイトの URL が表示されます。この画面では気が付くことができるのですが、気が付かずに ID を入力し、多要素認証を行えばそのタイミングで認証できてしまい、その認証情報をこのサイトを作った側に渡すことになるわけですね。
上記では、対抗策として FIDO2 認証を使って、対応するパターンと Microsoft 365 Defender の ID 管理を利用して早期発見や条件付きアクセスなどをかけていくといった方法を薦めています。
FIDO2 は物理キーを使う形だと思うので敷居が若干上がるんですよね。
その点 Microsoft 365 Defender であれば、ライセンスを購入しておくだけでも攻撃された可能性については判断してアラートを上げてくれますよね。その点 Microsoft 365 Defender に分がある感があります。
Microsoft 365 はかなりの普及率となっているため、攻撃者の的になりやすいという点があります。逆に言うと防御も方法論が次々と検討されるので、明示的に守っておけば一定の安全性は保つことができます。
そろそろ Microsoft 365 Defender の活用を真剣に検討していく時が来ているのかもしれませんね。
音楽:be human