kazuakix の日記

Windows Phone とか好きです

OneDrive を騙るフィッシング メールに注意

フィッシング メールに引っかかりました

 先日、通勤電車の中でこんなメールを受信しました。

f:id:kazuakix:20171230191803p:plain
 「誰か OneDrive の共有フォルダにファイルでも入れたのかな?」と思ってリンクをクリックして、Microsoft アカウントでサインインしたところ、パスワードが間違えているという警告の後、MSN のトップページに移動しました。

・・・あ、やっちまった。アカウント奪う系の奴じゃん、これ。
即座にパスワードを変更。こんなに簡単なのに引っかかるなんて・・・。
 

メールの中身

 メールのヘッダはこんな感じ

From: OneDrive Notification <adm-replyone-drivexypgu8327iqfjols34jqgsj0221uierdsjkxzwrmqpygxw@hotmail.com>
To: "notification@onedrive.microsoft.com" <notification@onedrive.microsoft.com>

よく見たら、To: が自分宛じゃないんですね。この時点で気付かないといけませんね。

f:id:kazuakix:20171230192000p:plain
 
 メールは hotmail.com からの送信なので、 SPF とか DKIM 認証はパスしていて、スパム判定されることはありませんでした。

Authentication-Results: spf=pass (sender IP is 40.92.10.84)
 smtp.mailfrom=hotmail.com; live.jp; dkim=pass (signature was verified)
 header.d=hotmail.com;live.jp; dmarc=pass action=none header.from=hotmail.com;
Received-SPF: Pass (protection.outlook.com: domain of hotmail.com designates
 40.92.10.84 as permitted sender) receiver=protection.outlook.com;
 client-ip=40.92.10.84; helo=NAM04-CO1-obe.outbound.protection.outlook.com;
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=hotmail.com;
 s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version;
 bh=5IEtDAE8Nd+mJyZFP0M2igzReyfqkDDzzJHexjkxV+8=;
 b=TfvpIKb7HvwkX5auX73eY7pJXscMw6MTcc3wvFyKhv/0ZxAGjVC97Rh/FlHmz/cTMEvynnF7SzVuFHlqP9UWxL3ZqisQPdNNy40B+u3pMIYyuozJr4C4LX80LtLChZsFruy1nAh2FRctkZy7reHrDcspPh+O2Yj9YFzDh0J5b4GnpEiDHMPrgF0xZobyKJNQteNOjtkm8wJHZYZ6QFuQym32cwUgVcLaQYf02YHUtWW9dhYdFshfZdAMN6ZchU5STleXckT4YP7S9iDkoii9MbCc5Q8MmhMgFvd/8vguQRKzW+KjJILOPULvQ2Dl4BC+vJZ28FHJzq4POYsto7hwBg==

 
 リンク先の URL は tinyurl で隠されていますが、
https://onedrive(dot)secureliveaccess(dot)esocialmanager(dot)com/onedrive/securedocsx/valid/review/live/login/login.php (アクセスを防ぐために加工しています)
に飛んでいました。見るからに怪しい URL ですね。

f:id:kazuakix:20171230193119p:plain

 一応、https のマークも出ていますが、証明書は Let's Encrypt の無料証明書でした。無料証明書はありがたい仕組みなのですが、こういうのが増えると無料証明書すべてが怪しく見えてきてしまうのが残念です。

f:id:kazuakix:20171230193332p:plain
 

フィッシング サイトを報告しておく

 念のため、Office 365 の ATP (Advanced Threat Protection) 経由でも開いてみたのですが、すんなり開いちゃいました。このページ自体は ID、パスワードを入力させるだけ (と思われる) ため、反応しなかったのだと思いますが、こういう時こそ反応して欲しかったところです。今後に期待して URL を報告しておきます。

 Outlook on the Web であれば、メニューからフィッシング サイトとして簡単に報告できます。Outlook.com でも同様ですね。

f:id:kazuakix:20171230205209p:plain
 
 また、Edge であれば、[フィードバックの送信] - [安全でないサイトを報告する] から URL を報告することができます。こちらは SmartScreen で使われるだけなのかもしれませんが、一応報告しておきました。

f:id:kazuakix:20171230193805p:plain
 
 尚、このページは僕が開いてしまった翌日くらいには見えなくなっていたのですが、12/30 現在、またアクセスできるようになっているようです。もしかしたら、同じようなメールも飛び始めているかもしれないので注意してください。

 また、万一パスワードが漏れてしまってもすぐに被害にあうことがないように、 2 段階認証を設定しておきましょう。

Office 365 の ATP (Advanced Threat Protection) を使ってみる

 この記事は Office 365 Advent Calendar 2017 の 5 日目の記事です。

Advanced Threat Protection とは

 一昨年の日本年金機構の情報流出事件以降、標的型攻撃に対する対策が求められるようになりました。特に公共系ではメール添付ファイルなどをサンドボックスで実際に実行してみて確認することが (ほぼ) 必須になるなど、セキュリティに対する関心は高まっています。

 Office 365 では Exchange Online Protection (EOP) によるメール保護の他に Advanced Threat Protection (ATP) により、未知のマルウェアやゼロデイ攻撃などの高度な攻撃に対する保護をおこなう事ができます。

ATP の機能

 ATP には以下の機能が含まれています。

リンク保護
ATP リンク保護機能は、メッセージ内の悪質なハイパーリンクから予防的にユーザーを保護します。リンクをクリックした後も保護は毎回継続し、悪意のあるリンクは動的にブロックされ、適切なリンクにはアクセスできます。


添付ファイル保護
添付ファイル保護は、未知のマルウェアやウイルスから保護し、メッセージング システムを保護するゼロデイ保護を提供します。既知のウイルス/マルウェア署名がないすべてのメッセージと添付ファイルは、ATP がさまざまな機械学習および分析テクノロジを使用して悪意を検出する特別な環境にルーティングされます。不審な動作が検出されないと、メッセージが解放されてメールボックスに配信されます。


スプーフィング インテリジェンス
ある送信者が組織のドメインのいずれかに属する 1 つ以上のユーザー アカウントに代わってメールを送信していると思われる場合、スプーフィング インテリジェンスはそのことを検出します。こうして、そのドメインになりすましているすべての送信者を確認し、送信者に続行を許可するか、それとも送信者をブロックするかを選択できます。スプーフィング インテリジェンスは、セキュリティ/コンプライアンス センターの [スパム対策設定] ページで使用できます。


検疫
スパム、バルク メール、フィッシング詐欺メール、マルウェアを含んだメールとして Office 365 サービスが識別したメッセージや、メール フロー ルールに一致しているために Office 365 サービスが識別したメッセージは、検疫に送ることができます。既定では、Office 365 は、フィッシング詐欺メッセージとマルウェアを含むメッセージを検疫に直接送信します。許可されているユーザーは、検疫に送信された電子メール メッセージを確認、削除、管理できます。


高度なフィッシング詐欺対策機能
この機能は、フィッシング詐欺メッセージを検出するために、機械学習モデルを使用します。


Office 365 Advanced Threat Protection サービスの説明 より

 

EOP と ATP の違い

 EOP との機能比較です。EOP ではメッセージの検疫のみがおこなわれていて、それ以外はすべて ATP だけの機能になります。

機能 EOP ATP
リンク保護 いいえ はい
添付ファイル保護 いいえ はい
スプーフィング インテリジェンス いいえ はい
検疫 はい はい
高度なフィッシング詐欺対策機能 いいえ はい

 

ATP の購入

 ATP は 月額 220 円で Office 365 のオプションとして購入できます。サンドボックスなどの専用機が数千万レベルで販売されていることを考えると相当に購入しやすい価格設定なのではないでしょうか。

f:id:kazuakix:20171202215921p:plain

 尚、Office 365 Enterprise E5 と Office 365 Education A5 では標準で ATP を使うことができます。やったね。
 

ATP を試してみる

 それでは、早速 ATP を試してみます。

 ライセンスを購入して、使用したいユーザーに割り当てる訳ですが、ATP による保護を動かすためには、追加で設定をおこなう必要があります。
 

リンク保護の設定

 設定をするために管理センターから Security & Compliance を開き、脅威の管理 - ポリシー の画面から ATP の安全なリンク を開きます。

f:id:kazuakix:20171203095650p:plain

 安全なリンクでは上段の 組織全体に適用されるポリシー特定の受信者に適用されるポリシー の2か所を設定します。

f:id:kazuakix:20171203095708p:plain

 まずは 組織全体に適用されるポリシー です。標準で Default という名前のポリシーが定義されているので、鉛筆アイコンを押して編集します。

f:id:kazuakix:20171203093749p:plain

 動作確認のために 次の URL をブロックする の欄に動作確認用の URL を追加しました。その他の 電子メール以外のコンテンツに適用される設定 はすべてオンにしました。

 続いて、下段の 特定の受信者に適用されるポリシー で+アイコン押してポリシーを新規作成します。

 ポリシー名、概要を適当に埋めて、 不明で悪意がある可能性がある URL がメッセージに含まれる場合の対処法 をオンに、安全な添付ファイル機能を使用して、ダウンロード可能なコンテンツをスキャンしますユーザーに安全なリンクから元の URL へのクリックスルーを許可しません のオプションもオンにしました。

f:id:kazuakix:20171203093759p:plain

 更に画面下方にある適用先欄で、受信者のドメインとして自分のドメインを指定します。

f:id:kazuakix:20171203100431p:plain

リンク保護を試してみる

 外部からメールで先ほど設定した確認用の URL を送信してみます。

f:id:kazuakix:20171203100742p:plain

 ブラウザで開いてみると、この通り警告画面が表示されました。

f:id:kazuakix:20171203100854p:plain

 この時、URL 欄を見ると https://jpn01.safelinks.protection.outlook.com/ に書き換えられていることがわかります。ここでリンク先のチェックがおこなわれ、悪意のあるリンク先への接続を防いでくれます。また、今回はユーザーに安全なリンクから元の URL へのクリックスルーを許可しませんのオプションをオンにしているのでページを閉じる以外の事はできなくなっています。

 もちろん、PC だけでなくスマートフォンで開いた場合も同様です。

f:id:kazuakix:20171203101352p:plain
 

添付ファイル保護の設定

 先ほどのポリシー画面から ATP の安全な添付ファイル を開き、+アイコン押してポリシーを新規作成します。

f:id:kazuakix:20171203102441p:plain

 こちらもポリシー名と概要は適当に埋めます。安全な添付ファイルに不明なマルウェアが検出された場合の対応動的配信 とし、検出時のリダイレクト先として管理者(自分)のアドレスを指定、適用先に自ドメイン全体を指定しました・

f:id:kazuakix:20171203104358p:plain

f:id:kazuakix:20171203104426p:plain

添付ファイル保護を試してみる

 この状態で自分宛に適当なメールを送ってみると、受信後すぐは添付ファイルが  ATP Scan In Progress というメッセージに置き換わっています。

f:id:kazuakix:20171203104829p:plain

 この状態からしばらくして添付ファイルに問題が見つからなければ、メールの添付ファイルとして表示されるようになります。

 実際に動作したところを確認しようと、他のアカウントに来た不審メールをいくつか転送してみたのですが、今のところすべて EOP で防いでくれていました。ATP が真価を発揮するまでもうしばらく見守ってみようと思います。
 

 以上、Office 365 Advent Calendar 2017 の 5 日目でした。明日は @sophiakunii さんです。よろしくお願いします!

Windows 10 Mobile でビジネス向け Microsoft ストアに接続してみる

 この記事は Windows 10 Mobile Advent Calendar 2017 の 2 日目の記事です。

 Windows 10 Mobile では Microsoft アカウントの他に Office 365 などで使用している Azure AD アカウントを使用することができます。こうする事で専用のストア (ビジネス向けストア) を使用することができるようになります。
 
ビジネス向けストアを使うには以下の前提条件が必要になります。

  • PC またはモバイル デバイスで実行される Windows 10 バージョン 1511
  • ご家庭または職場の Azure AD

 

ビジネス向けストアへのサインインとアプリの登録

 https://www.microsoft.com/business-store にアクセスし、Azure AD アカウント (Office 365 のアカウントで可) でサインインします。

f:id:kazuakix:20171201230611p:plain
 
 サインインできたら、ストアの検索 または表示されているカテゴリから必要なアプリを探して入手します。

f:id:kazuakix:20171201230908p:plain

 入手後、メニューの 管理 - 製品とサービス - アプリ の欄で、入手したアプリの右端 ... メニューを表示して、プライベート ストアに追加 を実行しておきましょう。

f:id:kazuakix:20171201231131p:plain

 アプリの追加には 36 時間ほどかかるそうですので、気長に待ちましょう。
 

Windows 10 Mobile をセットアップする

 ビジネス向けストアにアクセスするために、Azure AD アカウントを追加します。Windows 10 Mobile では Microsoft アカウントではなく Azure AD アカウントをプライマリアカウントとして使用することもできます。今回は、初期セットアップの段階から Azure AD アカウントを使ってみました。

 初期セットアップ時に 職場用に設定します を選び、Azure AD アカウントでサインインします。

f:id:kazuakix:20171201232408p:plain

f:id:kazuakix:20171201232524p:plain

f:id:kazuakix:20171201232541p:plain
 
 セットアップ後にストアを表示すると、カテゴリの中に自分の組織名が表示されているのが確認できます。

f:id:kazuakix:20171201233426p:plain

 ここに、上記の管理画面で追加したアプリが表示されるはずなのですが、今回は時間不足で表示されるところまで進みませんでした。もう少し様子を見てみます。
 
 この状態では、Microsoft アカウントを追加することで、通常のストアからもアプリをダウンロードすることができます。次のステップとして、MDM などを使ってビジネス向けストアのみを表示させる事もできます。

 こちらについても、また機会があれば試してみたいと思います。
 

目指せ完走

 という訳で、Windows 10 Mobile Advent Calendar はまだまだ続きます (Windows Phone 自体もね!) 。明日は @bmwandmore さんです。よろしく!