個人的にはショッキングなCoreView社の調査レポートでした。コロナ禍でZoomの暗号化がEnd-to-Endでは無い、VPNが危ない・・・と新たな基幹技術やサービスの脆弱性が盛んにクローズアップされ、それはそれで大事な事なのですが、肝心の足元がおろそかになり過ぎではないか? そんな風にこのレポートを読みました。
threatpost.com
CoreView Researchによる最近のレポートでも、Microsoft 365ユーザー全体の97%がMFAを使用していないことがわかり、Microsoftのサブスクリプションサービスの実装に固有のセキュリティ問題に厳しい光が当てられています。2017年に開始されたこのサービスは、Office 365、Windows 10、エンタープライズモビリティなどの基本的な生産性アプリケーションをユーザーに提供します。
先週発表されたレポートによると、「これは、特に従業員の大多数が遠隔地にいるときに、サイバー攻撃を効果的に阻止し、組織のセキュリティ体制を強化するために、IT部門が認識して対処しなければならない大きなセキュリティリスクです」。
(Threatpost記事より引用)※機械翻訳
元ソース(CoreView社)
キタきつねの所感
調査元のCoreView社は、Microsoft Office365等にSaaSで管理サービス等を提供する米国企業で、10/22にこの調査レポートを出しました。
対象は365ユーザー企業でトータル500万人以上のデータを分析対象と書かれていますので、日本企業/組織はあまり含まれてない気がしますが、グローバルの統計データとしては信頼性が高いものかと思います。
このレポートの表紙を見ると、いきなり危ないデータがサブタイトル(CoreView Research Indicates 50% of M365 Users are Not Managed by Default Security Policies)に出てきます。
「CoreViewの調査によると、M365ユーザーの50%がデフォルトのセキュリティポリシーで管理されていないことが判明」とあるのですが、M365ユーザーの多要素認証保護率3%だけでなく、このレポート内にはかなり”怖い”調査結果が掲載されている事を予感させました。
主な調査結果を拾ってみたのですが、仮に日本企業/組織のM365ユーザー傾向が同じだとすれば、日本企業/組織からの大型インシデントが発生する可能性が高いと言えますし、
もっと言えば、それ以上に企業にとって怖いかも知れない(海外からの)産業スパイは既に大きな成果を上げている気がしてなりません。
①全M365ユーザーの97%が多要素認証を使っていない
データ侵害事件がなかなか減らない要因の1つは、IDとパスワード(※使い回し)に過剰に頼りすぎている事が大きいと思います。しかし、その有効な対策の1つである多要素認証がまったく使われてないのであれば、データ侵害は更に増えていく可能性すらあり得るかと思います。
参考:ユーザーの多要素認証を設定する - Microsoft 365 admin | Microsoft Docs
多要素認証導入ガイド | マイナビニュース
②M365管理者の78%が多要素認証を使っていない
このデータ、22%の管理者(特権ユーザー)しか多要素認証を使っていないのだとすれば、テレワーク(リモート管理)が当たり前になっている中、管理者認証情報が窃取されると、かなり大きな事件に発展する可能性がある事を示唆しています。
VPN(RDP)装置の脆弱性が突かれて一部日本企業も被害を出していますが、多要素認証(MFA)が導入されていれば防げた事件もあると思われます。これも根っこの部分は同じで、管理者アクセスへの多要素認証という考え方が浸透してない事に原因がある気がします。
③企業のM365ユーザーの50%がクラウドユーザー
クラウド利用はDX化が加速している中、当然の事ではありますが、クラウドは従来のオンプレ装置で知見を貯めてきたセキュリティの考え方とは違う守り方が必要となります。
この辺りが本当出来ているのか・・・下記を見ていくと怪しい気がします。
④クラウドのM365管理者の1%が強力なパスワードを使用していない
1%は少ない気がしますが、この1%の多くが多要素認証を使ってないのですから、ツール等でパスワードリスト自動攻撃して、ヒット率が少し悪くても、成功すれば果実を得られると考えるハッカー(攻撃者)は、AWSの設定ミスを狙うハッカー同様に、結構いるかと思います。
⑤M365ユーザーの20%がゲストユーザー、ゲストユーザーの70%が非アクティブ
非アクティブアカウントが悪用されると、迷惑メールの踏み台になった際に気づくのが遅れる可能性もありますが、そもそもライセンスコストにも影響する事を考えて、不要なユーザーは定期的に削除(使用停止)する事を、企業や組織はもっと意識した方が良いのかと思います。
⑥M365管理者の57%が重要データへのアクセス、変更、共有が出来る過剰な権限が付与されている
IT管理者(特権ユーザー)を信頼して過剰な権限を与えてしまうと、その人は大丈夫だったとしても、その認証情報を悪用された場合に大きな被害を受けてしまう可能性があります。
特権ユーザーに対しても、定期的な棚卸を実施し、最小権限付与を心掛ける、セキュリティ対策の基本ではありますが、この統計データでは半分以上がミスをしている事を示唆している事を考えると、”基本”が出来てない企業は、運用ルールをもう一度見直す事が必要です。
⑦M365管理者の17%がExchangeの管理者
本来はExchange管理者と普通のM365管理者は分けておく方が理想な気がします。Exchangeの怖い所は、極端な話、自社の役員のメールすら見れてしまう所かも知れません。(※ここが侵害されるとビジネスメール詐欺の成功率も高くなります)
その権限が⑥の様に、業務に関係が無い普通のM365管理者に付与されていたとすると・・・
⑧M365管理者の36%はグローバル管理者
1人(少人数)情シスなら仕方が無いと思います。しかしこの調査データはグローバル管理者ですので、そうした意図でのデータではないかと思います。この36%が意味する所は、1人の管理者がカバーする範囲(権限)が広すぎる事かと思います。
その必要性があったとしても、地域別・国別での管理権限付与、あるいは事業別の付与、そうした権限管理が必要かと思いますし、その管理運用自体も、内部不正や、外部からの特権ID乗っ取りを考慮して、監視されているべきかと思います。
※レポート自体は6Pと非常に薄く(英語ですがすぐ読めます)、結果のダイジェストが掲載されているだけですので、ご興味ある方はご覧になって下さい。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
