Microsoft Incident Responseは、おとりアカウントを使って脅威アクターを騙し、検出することができます。

脅威の攻撃者は、AI を含む利用可能なあらゆるテクノロジーを使用して、ランサムウェアからフィッシング、マルウェアなど、あらゆる種類の脅威を仕掛けることが今ではわかっています。

Outlook や Microsoft 365 などの Microsoft プラットフォームは、この脆弱性の影響を最も受けています。たとえば、2022 年だけでも、Microsoft 365 アカウントの 80%以上が何らかの時点でハッキングされました。

しかし、マイクロソフトは、Microsoft Incident Response システムでは、Microsoft Defender for Identity から Microsoft Defender for Endpoint まで、さまざまなサイバーセキュリティ ツールを採用して、わずか数分でこのような脅威を根絶できると述べています。さらに、新しいCopilot for Securityと組み合わせることで、Incident Response は、システムが侵害されることを心配することなく、あらゆる種類のサイバーセキュリティの問題に迅速に対処できます。

レドモンドに本拠を置くこのテクノロジー大手は、電子メールでアクセスされた後にサーバーに拡散したモジュール型マルウェア「Qakbot」が組織を標的にした例を紹介した。

Qakbot はさまざまな手段でインフラストラクチャを攻撃し、金融データ、ローカルに保存された電子メール、システム パスワードまたはパスワード ハッシュ、Web サイトのパスワード、Web ブラウザー キャッシュからの Cookie など、さまざまな資格情報を盗むために使用されます。

Microsoft が介入し、インシデント対応システムを使用して、マルチプラットフォーム アプローチで問題に対処することができました。同社は次のように述べています。

Microsoft Incident Response の最も興味深い側面の 1 つは、ハニートークンを使用できることです。ハニートークンは、おとりアカウントを使用して脅威アクターを騙し、本物のアカウントを標的にしていると信じ込ませるセキュリティ手法です。

レドモンドに本拠を置くこのテクノロジー大手は、サイバー脅威やサイバー攻撃に対処する際にインシデント対応システムを適切に実装できるよう、顧客に対しマイクロソフトに連絡するようアドバイスしている。

ブログの全文はここからお読みいただけます。

おとりアカウントはハニートークンと呼ばれ、セキュリティ チームに、ID 攻撃の試みを検出、回避、または調査するユニークな機会を提供します。最適なハニートークンは、その本質を隠すのに役立つ履歴を持つ既存のアカウントです。ハニートークンは、進行中の攻撃を監視する優れた方法にもなり、攻撃者がどこから来ているのか、ネットワーク内のどこにいるのかを発見するのに役立ちます。

マイクロソフト

Microsoft Incident Response が介入し、Microsoft Defender for Identityを導入しました。これは、ID 関連の脅威を検出して対応するのに役立つクラウドベースのセキュリティ ソリューションです。ID 監視をインシデント対応に早期に取り入れることで、手一杯だったセキュリティ運用チームが制御を取り戻すことができました。この最初のステップにより、インシデントの範囲と影響を受けたアカウントを特定し、重要なインフラストラクチャを保護するための措置を講じ、脅威の攻撃者を排除する作業を行うことができました。次に、Microsoft Defender for Endpoint をDefender for Identity と併用することで、Microsoft Incident Response は脅威の攻撃者の動きを追跡し、侵害されたアカウントを使用して環境に再侵入しようとする攻撃者の試みを阻止することができました。そして、戦術的な封じ込めが完了し、環境に対する完全な管理制御が回復すると、Microsoft Incident Response はお客様と協力して、将来のサイバー攻撃を防ぐための回復力の向上に取り組みました。

マイクロソフト