Microsoft 365の新機能「組織メッセージ」の潜在的なリスク

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第39回目となる今回は、「Microsoft 365の新機能『組織メッセージ』の潜在的なリスク」と題して、Microsoft 365の新しい「組織メッセージ」機能を紹介し、機能を有効化するにあたって考慮すべきリスクについて解説する、Shawn Hays（Varonisプロダクトマーケティングマネージャー）のブログ記事をご紹介いたします。

Microsoft 365のお客様向けに、最高情報セキュリティ責任者 (CISO) やリスク管理部門から注目を浴びない、いつかの強力な機能が、ロールアウトされています。

その中の機能の一つとして、2024年5月にパブリックプレビューとして発表されたのが、「組織メッセージ」機能です。以前、Microsoft Intuneの一部として限定的な範囲で利用可能なものであったことをご存じの方もいるかも知れません。新しいソリューションのMicrosoft MVPのAndy Malone氏によるデモンストレーションをご覧ください。

Microsoft 365の組織のメッセージとは？

Microsoft 365の組織のメッセージ機能は、IT部門とセキュリティ部門が、受信トレイ内ではほとんど無視されたり紛失されたりする可能性のある昔ながらの電子メール以外の方法で、組織内のユーザーとコミュニケーションする方法を強化することを目的としている機能です。

人事部門が重要なメッセージを伝えるために頻繁に使用する傾向があるMicrosoft Viva EngageやTeamsチャネルとは異なり、「組織のメッセージ」は、Windowsデバイス、Teamsなどのデスクトップ画面に直接ポップアップ表示することができます。

以下に、ユーザーにメッセージを表示するためのさまざまな場所やメカニズムを示します。

この埋め込みメッセージは、最近の変更や今後の変更をユーザーに通知したり、特定のトレーニングを受講するように促したり、障害や計画停止を通知したりするのに、非常に効果的です。

しかし、このソリューションは悪意のある目的に使用される可能性があります。

何が問題なのか？

管理者のIDが侵害されたり、Microsoft 365 管理センターで組織のメッセージを作成する特権がユーザーに与えられたり、適切な権限を持つ管理者が内部者脅威となって会社全体に有害なメッセージを送信したりすることを想像してみてください。

この機能を有効にする前にデータとアクセス許可をロックダウンしておかなければ、これらのシナリオはすべて組織にとっての大惨事につながりかねません。

次の画像をご覧いただくと、カスタムメッセージでどんな悪意のあるコンテンツを送信できるのかを想像できるでしょう。

•    「あなたの資格情報の有効期限が切れています。1時間以内に変更してください。ここをクリックしてパスワードを更新してください。」
•    「XYZ社が破産を申請しました。今後の対応や影響については、追って全従業員にお知らせします。」
•    「アプリケーションABCがお使いのデバイスのパフォーマンスに影響を与えています。リンク先の手順に従って、アプリケーションを無効化してください。」
•    「あなたの最新の経費申請書は承認待ちになっています。ここをクリックして支払いの明細を確認して、最終承認を取得してください。」

警告メッセージは組織内の混乱や動揺を引き起こしますが、最悪のシナリオは、悪意のあるリンクが配布されたり、悪意のあるスクリプトやパッケージを実行する指示が各ユーザーに与えられたりすることです。

悪用に対する唯一の安全対策は、組織のメッセージの「承認者」がこのメッセージの「作成者」とは異なるユーザーであることを既定のポリシーで要求することです。いずれにせよ、

現在、悪意のあるリンクを監視したり、組織のメッセージに潜在的に危険なコンテンツが含まれている場合にアラートを発報する機能セットはありません。

VaronisでMicrosoft 365のリスクを軽減

NIST CSFのプラクティスに従えば、まずリスクアセスメントから始め、現在、誰が組織のメッセージを作成したり承認する権限を持っているかを組織が把握することが重要です。カスタムの組織メッセージは、グローバル管理者、組織のメッセージライター、組織のメッセージ承認者のロールを持つユーザーのみが作成したり承認することができます。

VaronisのID保護機能を使用することにより、セキュリティ部門は、どのユーザーにこれらのロールが割り当てられているのかを正確に把握し、ユーザーにこれらのロールのいずれかが付与されたときにイベントを一貫して監視することができます。

ほとんどの既定のレポートや監視はグローバル管理者に対して設定されているため、これらの新しい微妙な「組織メッセージ」ロールには設定されていないため、これは特に重要なことです。

Varonisは、また、IDとそのエンタイトルメントの変更以外のことも可視化することができます。Varonisは、データアクセス、アクティビティ、アクセス許可を積極的にスキャンすることにより、リスクの高いIDのデータアクセスの全体像を提供することができます。ユーザーが不審な場所から認証を行ったり、不明なデバイスからイベントを実行するなど、さまざまなIDに関する兆候に対しても対策を講じることが重要です。Varonisを利用すると、IDとデータへのアクセスの課題に率先して取り組むことができます。

内部者リスクの調査では、パンくずリストを辿ることによって、ユーザーが組織に損害を与えるような行為をしているかどうかを特定できることが多くあります。

Varonis for Microsoft 365と内部者リスク管理機能は、ファイルアクセスイベント、設定変更、異常な振る舞いをリアルタイムで監視します。

内部者脅威がMicrosoftの組織のメッセージのような影響力の大きいツールが悪意を持って利用される前に、これらの変数をつなぎ合わせることができます。

最後の防衛ライン

上記のソリューションや他社の同様のソリューションを導入しなければ、悪意のあるアクターは、Microsoft 365の組織のメッセージを通じて悪意のあるリンクを送信することができてしまいます。

このメッセージは、TeamsやExchange/Outlook経由のメールで送られてくるものではないため、Microsoft Defender for 365では検出されません。したがって、最後の保護手段の一つは、Microsoft Defender SmartScreenで、これはWindowsエンドポイント上のEdgeブラウザーでのブラウジングにのみ適用されます。

すべての 1) ユーザーがWindowsデバイスを使用しており、2) デバイスが新しいリンクをEdgeブラウザ−で開くよう構成されており、 3) ユーザーがMicrosoft Defender for Endpointプラン1またはプラン2のライセンスを持っており、 4) サイトがMicrosoftインテリジェンスを通じて悪意のあるサイトであることが判明している—場合には、ユーザーに引き返すように指示する赤い警告ページが表示されます。ユーザーが戻ってくれると良いのですが。

リスクを取らずにリスクを軽減しましょう。

Microsoftの組織のメッセージを有効にする準備をしている中で、アクセス許可が適切に設定されているかどうかを確認する必要がありますか？

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/m365-organizational-messages

・Introducing organizational messages (preview) in the Microsoft 365 admin center（英文）
https://techcommunity.microsoft.com/blog/microsoft_365blog/introducing-organizational-messages-preview-in-the-microsoft-365-admin-center/4123890

・YouTube動画「Microsoft 365 Important Updates Nov 2024 」（英語）
https://youtu.be/WvSlJtAEPtI?si=2mmJd9TjmGWMEMIk

・当コラム第32回「Microsoft 365 CopilotへのNIST CSF 2.0の適用」
https://www.innovations-i.com/column/data-security/32.html

・Varonis for Active Directory
https://www.varonis.com/ja/integrations/active-directory

・Varonis製品統合データシート「Entra ID (Azure AD)」
https://view.highspot.com/viewer/1abf0e88fed76fae15b2c50e6caa26a6?iid=669e44b8256da821db87ef49

・Varonis for Microsoft 365
https://www.varonis.com/ja/integrations/microsoft

・Varonis製品データシート「Varonis for Microsoft 365」
https://view.highspot.com/viewer/1abf0e88fed76fae15b2c50e6caa26a6?iid=61d8ba173eded7c63c1d2d72

ブログ記事著者について

Shawn Hays

Shawnは、Varonisのプロダクトマーケティングマネージャーであり、主にMicrosoftクラウドに注力しています。彼は、Microsoftエコシステムとサイバーセキュリティの分野で10年間の旅をしてきました。データセキュリティについて論じないとき、音楽フェスティバルやフリスビーを投げると彼を捕まえることができます。

（翻訳：跡部 靖夫）