M365アカウント侵害時の初動対応

Transcript

1. 1 伊藤忠サイバー＆インテリジェンス株式会社 M365アカウント侵害時の初動対応 2025/7/18

2. 2 2 対象読者と前提条件 • 対象読書 セキュリティの専門家ではないが企業のM365を管理しているIT担当者 • 資料概要 特権を持たないMicrosoft 365アカウントが侵害された際に、インシデント対応の専門チームが到

   着するまでに出来る「最低限の止血と保全」を解説した」資料です。 • 以下は対象外 ◦ Entra ID／Azureロールを持つアカウント ◦ ハイブリッドID／Azure AD Connectorからの侵害 ◦ ExchangeやSharePointなどのM365サービスの特権を持つアカウント ◦ システムアカウント（RPAなどの自動化で使用するアカウント）

3. 3 構成 3 初動対応の目的 チェックシート 初動対応の順序 各手順の解説 まとめ 01 05

   02 03 04

4. 4 4 ざっくり概要 • 一般ユーザーのMicrosoftカウントの侵害は、フィッシング、総当たり、Stealer 経由での侵害が多い。（稀に標的型） • 攻撃者の主なモチベーションはBEC、踏み台、まれに標的型 • 初動対応の目的は「止血」と「保全」

   • 一般ユーザーの権限で実行できる永続化手法はそこまで多くない • 普段から「止血」と「保全」の手順を確認しておくことが大事 • 現場で対応難しければ、無理せずセキュリティチームへ権限を渡そう

5. 5 5 初動対応の目的 • 止血 更なる感染拡大や情報漏洩を食い止める（接続の遮断、永続化の除去） • 保全 ログ、検体、ディスク等、調査に必要なデータを集める、証跡によっては揮発性があったり 証拠隠滅される。

   • 体制構築 インシデント対応にあたる人物をかき集める。場面によってはビジネス判断が必要。

6. 6 6 初動対応の順序 業種、企業文化、アカウント所有者の役職、業務影響によるため一概に言えない。 出来るだけ早く「決定権を持つ人」へコンタクトして状況を伝える。または、普段から ある程度のシナリオについて決定権を持っておく。 • ケース１ ◦ 当人及び、上長、所管の部署へ一報

   ◦ 了承を得た上でアカウントの無効化、PWリセット ◦ ヒアリングと並行して、セキュリティ担当への連絡と体制構築 ◦ 永続化の確認と証跡の保全 ◦ セキュリティチームと協力して詳細な調査を開始

7. 7 7 M365アカウント侵害時の初動対応の流れ 被害アカウントに対するオペレーションに合意が取れたことを前提として。 1. ヒアリング a. 被害アカウントの所有者から情報収集 2. 攻撃者からのアクセス経路を塞ぐ

   a. パスワードリセット b. セッション取り消し c. 永続化の確認と除去 3. 証跡を保存する a. 各種ログ b. スクリーンショット c. メール、マルウェア検体 4. 引継ぎ・注意喚起 a. 収集した情報をセキュリティチームへ渡す b. 社内、取引先への注意喚起

8. 8 8 ヒアリング 不審なアクティビティが始まった日時や、直近で怪しいメールを開いた等の情報を得 られれば対応スピードが上がる。あくまで情報収集であり尋問にならないように。マル ウェア感染が疑われる場合はこの時点で端末の隔離を行う。 1. 被害を知覚した日時と内容 2. 怪しいメールを開いたか覚えはあるか？

   a. メールは残っているか？ b. 開いた日時、入力した内容は？ 3. 怪しいソフトをダウンロード＆インストールしたか？ a. ダウンロード元を覚えているか？ b. 実行した内容は？ 4. その他、不審な点はあるか？

9. 9 9 「パスワードリセット」と「セッションの取り消し」 フィッシングやマルウェア (Stealer) によって、パスワードとセッションが盗られている可 能性が高い。MFA未設定のアカウントであれば総当たりの可能性もある為、リセット 後は強力なパスワードの設定とMFA登録も行う。 • パスワードリセット

   Entra ID管理センター > ユーザー > 被害者アカウントを選択 > 「パスワードのリセット」 • セッションの取り消し Entra ID管理センター > ユーザー > 被害者アカウントを選択 > 「セッションを取り消す」

10. 10 10 不審なサインイン方法の確認と削除 攻撃者自身が二要素認証の手段をを登録してくるケースがある。セルフサービスパ スワードリセット (SSPR) が有効な場合、パスワードとセッションのリセットを行っても、 アカウントへのアクセスを回復される。 • 不審なサインイン方法の削除

    ◦ Entra ID管理センター > ユーザー > 被害者アカウントを選択 > 認証方法 へ移動 ◦ 被害者に身に覚えのない認証方法があれば削除を行う ◦ 攻撃者が被害者と同じデバイスを使用している可能性もあるため不明な場合は、全て削除 して再登録する。

11. 11 11 アプリパスワードの確認と削除 アプリパスワードはMFAをサポートしないシステム向けの認証方法で、MFAを回避す る永続化手法として使われることがあります。 • 不審なサインイン方法の削除 ◦ https://mysignins.microsoft.com/security-info でアプリパスワードを確認して、被

    害者が作成した覚えがないものがあれば削除を行う。

12. 12 12 メールルールの確認 悪意ある操作の隠匿や情報収集に使用される。BECのモチベーションを持つアク ターであれば請求や支払い等の「お金」に関する話題を含むメールの自動アーカイブ や自身のメールアドレスへの転送ルールを作成することが多い。 • メールルールの確認と削除 ◦ Outlook／OWAにて当人が作成した覚えのないメールルールを確認して削除する。

    ◦ 「.」や既存ルールと似せたルール名を使用するため要注意。

13. 13 13 アプリの登録の確認と削除 Entra IDでは一般ユーザーによるアプリ登録が可能であり、アカウントを侵害した攻撃者は 度々、アプリ登録とシークレットキーの発行を行うことがある。これにより侵害したアカウントの セッションが取り消されても引き続き活動が可能となる。 アプリへMicrosoft Graph APIなどの権限を付与することも可能で、これにより内外部への

    フィッシングやデータの持ち出しが可能となる。 • アプリ登録の確認と削除 ◦ Entra ID管理センター > アプリの登録 > 全てのアプリケーション で不審なアプリがないかの 確認と削除を行う。環境と合わせた違和感の無い名前を使用することもあるため要注意。作 成日などでソートすると良い。

14. 14 14 アプリへの同意の確認と削除 Entra IDでは一般ユーザーの権限でサードパーティアプリへM365リソースへのアクセス許可 を行うことが可能であり、同意型フィッシングなどで悪用される。 BECなどでは正規のSaaSアプリが使用され、メールの読み出しや送信などが行われる。 • アプリへの同意の確認と削除 ◦

    Entra ID管理センター > エンタープライズアプリ > 全てのアプリケーション で不審なアプリが 無いかの確認と削除を行う。

15. 15 15 デバイス登録の確認と削除 Entra IDでは一般ユーザーによるデバイス登録が可能であり、アカウントを侵害した 攻撃者は度々、デバイスの登録を行うことがある。これにより条件付きアクセスや MFA要求のバイパスが可能となる。 • デバイス登録の確認と削除 ◦

    Entra ID管理センター > ユーザー > 被害者アカウントを選択 > デバイス で被害者が所 有していない、身に覚えのないデバイスがないかの確認と削除を行う。 ※デバイスの削除時にPRTも無効になる

16. 16 16 ゲストアカウントの確認と削除 Entra IDでは一般ユーザーによるゲストが可能であり、アカウントを侵害した攻撃者 は度々、永続化を目的としてゲスト招待を行うが、特権を持たないカウントでは高い 権限を持ったゲストアカウントは作成できない。ただし、環境の探索（ユーザーの列 挙など）には使用できるため確認と削除を行う。 • ゲストアカウントの確認と削除

    ◦ Entra ID管理センター > ユーザー にて「ユーザーの種類==ゲストユーザー」のフィルターを 適用して、不審なゲストユーザーが居ないかの確認と削除を行う。「作成日時」の列を追加し てソートすると良い。

17. 17 17 検体の確保 ヒアリングによって初期侵入の原因がフィッシングやマルウェア感染と判明している場 合は確保を行う。 • フィッシングの場合 ◦ メール検体の確保（msgやemlファイル） ◦

    ソーシャルエンジニアリングの場合はチャットの会話履歴を保存（スクショでも可） • マルウェア感染の場合 ◦ 端末の隔離を行う ◦ Wi-Fiを含むNW接続を切った上でセキュリティチームへ引き渡し

18. 18 18 Entra IDサインインログの保全 侵入経路の特定や侵害内容の調査のために、Entra IDのサインインログの保全を 行う。サインインログは複数の種類があり、いずれも調査に必要なため漏れなく取得 を行う。※ 診断設定を行っている場合はそちらでも •

    Entra IDサインインログの保全 ◦ Entra ID管理センター > 監査と正常性 > サインインログ にて検索条件を被害 アカウントに限定したうえで、最大期間のログ (UTC) をCSVとJSON形式で全て ダウンロードしてストレージへ保存する。

19. 19 19 Entra ID監査ログの保全 侵入経路の特定や侵害内容の調査のために、Entra IDの監査ログの保全を行う。 Entra ID P1/P2 を所有していれば30日分のサインインログが取得可能。Entra

    ID Freeの場合は7日経過したログは削除されるため、可能な限り早く保全する。 ※ 診断設定を行っている場合はそちらでも • Entra ID監査ログの保全 Entra ID管理センター > 監査と正常性 > 監査ログ にて検索条件を被害アカウント に限定したうえで最大期間ののログ (UTC) をCSVとJSON形式で全てダウンロードして ストレージへ保存する。

20. 20 20 Microsoft 365監査ログの保全 監査ログのライセンスを保有している場合は、侵入経路の特定や侵害内容の調査 のために、Microsoft 365監査ログの保全を行う。所有しているライセンスに含まれ る監査プラン (Standard /

    Premium) によって保持期間が異なる。 • Microsoft 365 監査ログの保全 Microsoft Purview ポータル > ソリューション > 検索 にてログの検索条件 を被害アカウントに限定した上で検索を行い、結果のダウンロードとストレージへ の保存を行う。

21. 21 21 被害アカウントが特権を持っていた場合 • Entra IDやM365サービスの特権ロールは、その多くが粒度が大きい為、 特権を持っていた場合は一気に侵害シナリオの分岐が発生する。 ※ 攻撃者がとれる永続化や権限昇格の手法が多いため •

    よって、対処にあたってM365/EntraIDのセキュリティに加えて、それを取り 巻く脅威動向に対する深い知識が必要となる為、早い段階で専門家へバ トンパスすることが好ましい。 • 場合によっては、Entra IDの特権アカウントを払い出して環境の調査や証 跡の保全も行ってもらう。

22. 22 22 後続の処理 • 引継ぎ 収集した情報をセキュリティーチームへ引き渡す • 注意喚起 ◦ フィッシングメールによる侵害の場合

    i. 同様のメールが他の社員に接到しているかの確認 ii. 接到している、今後接到する可能性があれば注意喚起 ◦ 侵害されていたアカウントからフィッシングメールが送られていた場合 i. 送り先へ注意喚起する

23. 23 23 まとめ • 初動対応の目的は「止血と保全」 • 一般ユーザーの権限でも、複数の永続化手法がある • 普段から手順を確認しておく 特にMS製品は統廃合やブランド名、UIの変更が頻繁に発生する

    • 対応に不安がある場合は無理しないで専門家へ任せる

24. 24 24 初動対応チェックリスト ユーザーへの通知 アカウントの無効化等により一時的に業務に影響が出る旨を伝える。 必要であれば、システム担当者などへのパスをつないでおく。 被害者へのヒアリング 1. 被害を知覚した日時 2.

    怪しいメール、入力した内容 3. 怪しいソフト、実行した内容 4. その他、不審な点 パスワードリセット Entra ID管理センター > ユーザー > 被害者アカウントを選択 > 「パスワードのリセット」 セッションの取り消し Entra ID管理センター > ユーザー > 被害者アカウントを選択 > 「セッションを取り消す」 不審なサインイン情報の確認と削除 Entra ID管理センター > ユーザー > 被害者アカウントを選択 > 認証方法 にて被害者に身に覚えのない認証方法があれば削除を行う。 攻撃者が被害者と同じデバイスを使用している可能性もあるため不明な場合は、全て削除して再登録。 アプリパスワードの確認と削除 https://mysignins.microsoft.com/security-info でアプリパスワードを確認して、被害者が作成した覚えがないものがあれば削除を行う。 メールルールの確認と削除 Outlook／OWAにて当人が作成した覚えのないメールルールを確認して削除する。 「.」や既存ルールと似せたルール名を使用するため要注意。 ※前提として何かを削除するときは、そのオブジェクトの全てのページとタブのスクリーンショットを撮る事。

25. 25 25 初動対応チェックリスト アプリ登録の確認と削除 Entra ID管理センター > アプリの登録 > 全てのアプリケーション

    で不審なアプリがないかの確認と削除を行う。 環境と合わせた違和感の無い名前を使用することもあるため要注意。作成日などでソートすると良い。 アプリへの同意の確認と削除 Entra ID管理センター > エンタープライズアプリ > 全てのアプリケーション で不審なアプリが無いかの確認と削除を行う。 デバイス登録の確認と削除 Entra ID管理センター > ユーザー > 被害者アカウントを選択 > デバイス で被害者が所有していない、身に覚えのないデバイスがないかの 確認と削除を行う。 ゲストアカウントの確認と削除 Entra ID管理センター > ユーザー にて「ユーザーの種類==ゲストユーザー」のフィルターを適用して、不審なゲストユーザーが居ないか の確認と削除を行う。「作成日時」の列を追加してソートすると良い。 検体の確保 ヒアリングにより契機となった可能性があるフィッシングメール(eml, msgなど)や、ソフトウェアがあれば、別ストレージへ保存する。 Entra IDサインインログの保全 Entra ID管理センター > 監査と正常性 > サインインログ にて検索条件を被害アカウントに限定したうえで、最大期間のログ (UTC) をCSVと JSON形式で全てダウンロードしてストレージへ保存する。 Entra ID監査ログの保全 Entra ID管理センター > 監査と正常性 > 監査ログ にて検索条件を被害アカウントに限定したうえで最大期間ののログ (UTC) をCSVとJSON 形式で全てダウンロードしてストレージへ保存する。 Microsoft 365 監査ログの保全 Microsoft Purview ポータル > ソリューション > 検索 にてログの検索条件を被害アカウントに限定した上で検索を行い、結果のダウンロー ドとストレージへの保存を行う。 ※前提として何かを削除するときは、そのオブジェクトの全てのページとタブのスクリーンショットを撮る事。

26. 26