テレワーク環境下におけるフィッシング対策 NTTデータ 技術革新統括本部 システム技術本部 セキュリティ技術部 新井 悠:テレワーク環境下におけるフィッシング対策 | NTTデータ
Office365には「App(OAuthアプリ、アドインなどとも呼ばれることもある)」と呼ばれる、機能拡張のためのしくみが用意されています。利用者はこれを使用することで、例えばメールの誤送信対策のために、宛先などの再確認をすることや、あるいはメールの本文をワンクリックで翻訳する、といったことが可能です。既定の設定では、すべての利用者がOffice365のアプリケーションにAppを適用することができます。このため、攻撃者は、Office365の利用者にURLをクリックさせたうえで、悪意のあるAppを承認させることで、悪意のあるAppを標的の利用者に配信できます。その結果、例えばOutlookの電子メールが覗き見られてしまうといった可能性があるのです(※2)。図2はOffice365アカウントのパスワードの有効期限切れを偽装したものであり、文中のリンクをクリックして、誤ってAppを承認してしまうと被害を生じさせてしまい、さらには、概念実証レベルではありますが、電子メールを暗号化することで、身代金を支払わせさせようとする、いわゆるランサムウェアに悪用できるという可能性を示すAppのデモなども、海外ではすでに存在しています(※3)。
テレワーク環境下におけるフィッシング対策 | NTTデータ
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践
- 作者:徳丸 浩
- 発売日: 2018/06/21
- メディア: 単行本