1.サイバー攻撃者にとって貴重な資産がOffice365へ移動
狙われるOffice365アカウント。パスワードスプレー攻撃の脅威(大元隆志) - 個人 - Yahoo!ニュース
Office365はExcelやWordといったオフィス文書を作成するアプリケーションからメール配信まで提供する。企業内で作成されるオフィス文書の大半を保管することになる。サイバー攻撃者にとってOffice365は「データの金庫」と言えるだろう。
2.ログイン画面までは、誰でも到達可能
Office365はデータの金庫だが、ログイン画面はクラウド上に存在しているため、金庫の目の前までは誰でもアクセス可能だ。クラウドサービスによっては企業独自のログイン用URL等作成することが可能だが、Office365はそれが出来ないため、全世界のOffice365ユーザが共通のURLからログインする。サイバー攻撃者がIDとPWさえ知っていれば、簡単に侵入を許すことになってしまう。
3.セキュリティ設定、運用の不備
Office365は非常に多機能で有るため、導入設計の検討要素は広範囲に渡る。それらに注力するあまり、セキュリティ面が考慮されていないことが多く、不正アクセスを検出する運用等実施されていることは稀で有る。
スプレー攻撃結構悩ましい・・・・監査ログでもアノーマリーで見ないと見つからないからな・・・・
■従来の不正アクセス検出をすり抜けるパスワードスプレー攻撃
狙われるOffice365アカウント。パスワードスプレー攻撃の脅威(大元隆志) - 個人 - Yahoo!ニュース
パスワードスプレー攻撃は、非常に「ゆっくりとした攻撃」として知られている。特定のIDに対して一日に一回位のペースでログイン試行を試みる。一度失敗すると、間隔を開けて「別のIPアドレス」や「地域」からアクセスを試みる。気の長くなるような話だが、これを「ボット」を使って、延々と繰り返すのだ。
パスワードスプレー攻撃は、非常にゆっくりとログイン試行を繰り返すため、連続5回失敗したらアカウントをロックするといったアカウントロックの仕組みでは検出出来ないし、IPも毎回変えてくるため、特定IPからのアクセスを禁止するといった制御も回避してくる可能性が高い。
通常のユーザのログイン失敗のように見えるため、Office365の監査ログをただ眺めていても、パスワードスプレー攻撃を仕掛けられていると気付くことは難しい。
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2018/06/21
- メディア: 単行本
- この商品を含むブログを見る