Area１をMicrosoft 365とディレクトリ統合をしてビジネスメール侵害（BEC）対策構成を強化する

Cloudflare Area1はCloudflareが提供するメールセキュリティ製品です。 メールを使った攻撃は年々増加しています。Area1は不審なメールを評価し、素早くブロックすることでクラウドメールを保護してくれます。 Area1についての詳細は下記からご覧ください。

ビジネスメール侵害（BEC）とは

ビジネスメール詐欺（Business E-mail Compromise：BEC）とは、巧妙な騙しの手口を駆使した、偽の電子メールを組織・企業に送り付け、従業員を騙して攻撃者の用意した口座へ送金させる詐欺の手口です。米国連邦捜査局（Federal Bureau of Investigation：FBI）や米国インターネット犯罪苦情センター（Internet Crime Complaint Center：IC3）が公開している情報等によると、年々その被害は増加傾向にあり、ビジネスメール詐欺の脅威がより深刻なものになっています。
出典:IPA:ビジネスメール詐欺（BEC）対策特設ページ

ビジネスメール侵害とは簡単に言うと、なりすましメールによる詐欺手法のことです。攻撃者は取引先や子会社、経営層などになりすまし、用意した口座へ振り込みをさせるというのがよくあるBECの手口になります。

これを防ぐ一つの手法として、CloudflareArea1ではビジネスメール侵害リストにユーザー名とメールアドレスを登録しておくことで信頼できる送信元かどうかを判断する機能があります。 リストへの登録は手入力やCSVファイルをアップロードすることでも可能ですが、GmaileやMicrosoft 365とディレクトリの統合をすることにより、組織内のユーザーやグループの情報を取得し自動的にリストに追加することで組織内のユーザーのなりすましを防ぐことも可能です。

今回はこのディレクトリの統合の機能を使ってメールアドレスをリストに追加してみました。 本ブログはこちらのドキュメントを基に設定を行っています。

やってみる

Microsoft 365でArea1を承認する

Microsoft 365からユーザーやグループの情報を取得するために、Area1がMicrosoft 365テナントに接続する必要があります。テナントとはMicrosoftからライセンスを購入する際に作成される組織データを指します。この組織データをArea1が参照することで組織内のユーザー情報を取得するという仕組みです。

Area1を承認することが出来るアカウントには「Privileged authentication admin」および「Privileged role admin」ロールが必要です・

Area1ダッシュボードから設定（歯車マーク）を選択します。

Directoriesに移動してAdd Directoryを選択します。 　

詳細の入力画面が出るので、詳細を集力していきます。

DIRECTORY TYPE

ドロップダウンメニューを開きます。Office 365かGoogleかが選べるので自身の環境を選びます。今回はOffice 365を選択します。

DIRECTORY NAME

ディレクトリの名前です。わかりやすければ何でも良いです。

SYNC FREQUENCY

同期の頻度です。12hかDaylyかが選べます。 　

完了したらAuthorizeを選択するとMicrosoftのログインページにリダイレクトされるので適切なアカウントを選択します。　

認証されると要求された権限のリストが表示されますので、承認を選択します。 　

承認されると先ほどの詳細入力画面にリダイレクトされるのでSaveを選択します。 　

保存したディレクトリがテーブルに表示されているのが確認できました。これで承認は完了です。

Microsoftテナント側での表示も確認してみたところ、エンタープライズ アプリケーション一覧に新たにArea1をが追加されていました。 　

ビジネスメール侵害リストを構成する

Area1のダッシュボード画面左上の設定（歯車マーク）を選択します。 Email Configuration　＞　Enhanced Detections　＞　Business Email Compromise List　と移動します。

ドロップダウンメニューから先ほど作成したディレクトリを選択します。

ディレクトリの動機が完成すると、ユーザーやグループの一覧が表示されることが確認できました。

ユーザーもしくはグループの保護をしたい場合は右側の３つのドットボタンを選択し、Protect Userを選択します。 グループを保護するとグループに属しているユーザーのすべてが保護されます。 　

下記画像のようなポップアップが出ますが、保護するユーザーの名前の確認なので、confilmを選択します。

保護が完了したユーザーは保護マーカーが緑に変わります。

予備の電子メールアドレスを構成する

ビジネスメール侵害リストで保護されると、Area1は送信者とメールアドレスが一致しているかどうかを確認し、一致していなかった場合には検出イベントを発生させます。 保護されたユーザに登録したメールアドレス以外からメールを送信したい場合には、こちらの手順に従って予備のメールアドレスを追加する必要があります。

先ほどの３つのドットボタンからeditを選択すると、詳細の入力画面が出ます。 　

SECONDRY EMAILSの欄に予備のメールアドレスを入力し、Saveを選択するとメールアドレスの登録が完了します。　

確認してみる

ビジネスメール侵害リストの内容がしっかり反映されて、なりすましとして検出されるのか確認してみます。 リストの中に入っているsample,userというユーザーを装い攻撃者役の別のメールアドレスからメールを送信してみると、下記画像のようにSPOOF（なりすまし）として検出されています。

検出理由として以下を確認することが出来ました。

Protected name sample, user should not appear in "sample user" <攻撃者役メールアドレス>

しっかりと表示名とメールアドレスの不一致をもとになりすましを検出してくれていることが分かりました。

まとめ

簡単にビジネスメール侵害リストを構成することが出来ました。疑わしい差出人か否かを人間だけで判断することには限界があります。疑わしいメールアドレスをブロックするだけでなくこのようにリストを作成して信頼できるメールアドレスをあらかじめ登録しておくというのも攻撃の対策になります。Area1には他にも試してみたい機能がいくつかあるので、次回以降もブログでご紹介していこうと思います。