Microsoft 365 などのクラウドアプリを利用してると、オンプレとの違いで気になってしまうのがセキュリティ問題ですよね。
どこからでもアクセスできるというクラウドの特性を悪用し、正規のユーザーになりすますし情報を抜き出すケースはクラウドの脅威として挙げられる上位に位置しています。
この脅威の中でも最近流行しているのはパスワードクラックで、中でもパスワードスプレー攻撃はターゲットとするユーザー ID を順次切り替えながらパスワード辞書を用いて攻撃を行うため、問題の発生を検知することが難しい類の攻撃となっていました。
2023 年 4 月下旬より、 Microsoft 365 Defender P2 や Microsoft 365 E5 を利用している場合、このパスワードスプレーを検知するために、同一のクラウドサービスプロバイダーからの攻撃を一つの固まりとして検知する仕組みを用意することになったようです。
要は AWS や GCP 、 Azure といったクラウド上から攻撃する場合、 IP が特定されるので、それらの IP からの攻撃をひとつのくくりとしてチェックするようになるということのようです。
特に Authenticator といった多要素認証機能を用いずに、パスワードだけで認証を行っている場合は要注意です。もちろん多要素認証を行っていても、認証疲れで正しいアクセス化を見ずに承認してしまい被害にあうケースが増えているようなので、警戒の手は緩めることはできないのが実情となっています。
アラートが上がった後は以下の Learn に沿って問題点をチェックし、注意喚起を組織全体に行うという流れになります。
こちらは事後の啓もう系の話ですね。
Microsoft 365 Defender P2 以上があると自動検知してくれるメリットがあるため少ない管理者でも対応できる状態になりますよね。この問題に手を付ける場合はやはり自動化が必須となるのでしょう。
音楽:Shiro, Long Tail's