TokyoBlackHatNews

esecurityplanet.com 5分で読了

BarracudaがMicrosoft 365への悪意のあるログインが巧みに偽装されている実態を警告

eSecurity Planet のコンテンツおよび製品推薦は編集上の独立性を保持しています。パートナーリンクのクリックにより収益を得る場合があります。 詳細はこちら

ログイン失敗の試行を主な検知手段としているアカウント侵害対策では、増大する脅威を見逃している可能性があります。 

Barracudaの最新データによると、攻撃者は正規の認証情報と信頼できるように見えるインフラを活用し、通常のユーザーアクティビティに紛れ込みながらMicrosoft 365環境への不正アクセスに成功するケースが増えています。 

「攻撃者は多くのセキュリティチームが侵害の明らかなサインを探していることを把握しているため、正規のアクティビティに溶け込もうとする工夫をより一層凝らしています」と、BarracudaのオフェンシブセキュリティディレクターであるMerium Khalid氏はeSecurityPlanetへのメールの中で述べています。

同氏はさらに「馴染みのある場所からのログインや信頼できるブランドに関連したアクティビティであっても、その後の行動がユーザーのパターンと一致しなければ、依然としてリスクがあります」と説明しています。

Merium氏はこうも付け加えています。「警告サインはアクセスが行われた後にのみ現れるため、防御側はアイデンティティ、エンドポイント、ネットワークアクティビティを横断して点と点をつなぐ必要があります。」

主なポイント

  • Barracudaのデータによると、2026年4月にリスクの低い国からの悪意のあるMicrosoft 365ログインが約25%増加。
  • VPN、住宅用プロキシ、正規の認証情報を駆使して通常のユーザーアクティビティへの偽装を実現。
  • 成功したログインは失敗した認証試行と比べて精査されにくく、侵害の隙が生まれやすい状況。
  • 地理的位置情報やIPレピュテーションといった従来の指標は、単独では信頼性が低下傾向。
  • ログイン後の行動監視により、認証時には正規に見えるアカウントの侵害を検知可能。

悪意のあるログインが通常トラフィックに溶け込む

Barracudaの研究者らは、2026年4月に米国や英国などリスクの低い国からの悪意のあるMicrosoft 365ログインが約25%増加したことを確認しました。 

この傾向は、脅威アクターが悪意のあるアクティビティを正規のユーザー行動と見分けがつかないよう偽装することで検知を回避するべく、戦術を巧みに適応させていることを浮き彫りにしています。

サイバー犯罪活動に一般的に関連付けられるインフラを利用するのではなく、攻撃者はVPNサービス、住宅用プロキシ、ローテーションIPアドレスを使って実際の所在地を隠すケースが増えています。 

こうした戦術により、認証の試みが通常のネットワークトラフィックに溶け込み、地理情報に基づくセキュリティコントロールが不審と判断する可能性が低下します。

多くの組織はブルートフォース攻撃や繰り返されるログイン失敗の特定に注力していますが、成功したログインは精査が甘くなりがちです。 

その結果、攻撃者はすぐにアラートを発生させることなく、企業リソースへのアクセスを確立できてしまいます。

このような攻撃で使用される認証情報は、フィッシングキャンペーンや情報窃取マルウェアによって入手されるケースもあります。

従来のログイン指標が信頼性を失いつつある理由

Barracudaの調査結果は、地理的位置情報やIPレピュテーションといった従来の指標は単独では効果が薄れてきていることを示しています。 

馴染みのある地域や信頼できるネットワークからのログインであっても、必ずしも正規のアクティビティとは言えません。 

認証イベントだけに注目するのではなく、見慣れないデバイスからのアクセス、異常なログイン時間、物理的に不可能な移動(インポッシブルトラベル)、異常なファイルアクセス、不正なメールボックスルールの作成、権限昇格アクティビティなど、ログイン後の行動を監視することが求められます。 

こうした指標は多くの場合、侵害のより強力な証拠を提供し、環境内で活動している攻撃者の特定に役立ちます。 

IDリスクを低減する方法

効果的なIDセキュリティには、予防的コントロール、継続的な監視、リスクベースのアクセス判断を組み合わせることが必要です。 

  • 成功・失敗を問わずログイン試行を監視し、新しいデバイス、予期しない場所、異常なログイン時間などの不審な行動を調査する。
  • すべてのアカウント、特に特権ユーザーに対してフィッシング耐性のある多要素認証(MFA)を徹底する。
  • 条件付きアクセスとリスクベース認証ポリシーを導入し、アクセス付与前にユーザー、デバイス、セッションのリスクを評価する。
  • レガシー認証プロトコルを無効化し、不正アクセス経路を削減するためにOAuthアプリケーション権限を定期的に見直す。
  • アイデンティティ、エンドポイント、ネットワークのテレメトリーを脅威インテリジェンスと連携させ、不審なアクティビティや既知の悪意あるインフラを特定する。
  • 定期的な認証情報の衛生評価を実施し、漏洩・使い回し・侵害されたパスワードのレビューや継続的なセキュリティ意識向上トレーニングを行う。
  • インシデントレスポンス計画をテストし、IDベースの攻撃シナリオを用いたアタックシミュレーションツールを活用する。

これらの対策は、IDに焦点を当てた攻撃の発生可能性と影響を低減するのに役立ちます。 

IDベースの攻撃の台頭

Barracudaの調査結果は、脅威アクターが目立つ悪用手法に頼るのではなく、正規のユーザーアクティビティに溶け込む形のIDに焦点を当てた攻撃へ、業界全体が大きくシフトしていることを示しています。 

セキュリティチームにとって、認証の成功はもはや信頼の証明として扱えるものではありません。 

効果的な検知は、アカウント侵害を示す可能性のある異常なログイン後の行動を特定するために、アイデンティティ、エンドポイント、ネットワークのシグナルを相関分析することにかかっています。 

IDベースの攻撃が進化し続ける中、各組織は侵害された認証情報に関連するリスクを低減するため、ゼロトラストソリューションの採用を加速させています。

翻訳元: https://www.esecurityplanet.com/threats/barracuda-finds-malicious-microsoft-365-logins-are-blending-in/

ソース: esecurityplanet.com
#Barracuda #Microsoft 365 #アイデンティティセキュリティ #アカウント侵害 #ゼロトラスト #フィッシング #不正ログイン #住宅用プロキシ #多要素認証 #脅威検知

関連記事

2026年、AIの脅威が企業のサイバーセキュリティ防御を凌駕

ディープフェイク、AIを悪用した詐欺、そしてソーシャルメディア安全性の未来

ローカルAIエージェントが生み出す、新たなガバナンスの盲点