Microsoft Defender for Office 365での脅威分類
効果的な脅威分類は、組織が潜在的なリスクを迅速に特定、評価、軽減できるようにするサイバーセキュリティの重要な要素です。 Microsoft Defender for Office 365の脅威分類システムでは、大規模言語モデル (LLM)、小規模言語モデル (SLM)、機械学習 (ML) モデルなどの高度なテクノロジを使用して、電子メールベースの脅威を自動的に検出して分類します。 これらのモデルは連携して包括的でスケーラブルで適応型の脅威分類を提供し、セキュリティ チームが新たな攻撃を先取りするのに役立ちます。
フィッシング、マルウェア、ビジネス メール侵害 (BEC) などの特定の種類に電子メールの脅威を分類することで、組織は悪意のあるアクティビティから保護するための実用的な分析情報を提供します。
脅威の種類
脅威の種類 は、基本的な特性または攻撃方法に基づく脅威の主要な分類を指します。 これまで、これらの広範なカテゴリは攻撃ライフサイクルの早い段階で特定され、組織が攻撃の性質を理解するのに役立ちます。 一般的な脅威の種類は次のとおりです。
- フィッシング: 攻撃者は信頼されたエンティティを偽装して、受信者を欺いてサインイン資格情報や財務データなどの機密情報を明らかにします。
- マルウェア: システム、ネットワーク、またはデバイスを損傷または悪用するように設計された悪意のあるソフトウェア。
- スパム: 一括送信された迷惑メール(多くの場合は無関係なメール)(通常は悪意のある目的やプロモーション目的のため)。
脅威の検出
脅威検出とは、 電子メール メッセージまたは通信内の特定のインジケーターまたは疑わしいアクティビティを識別するために使用されるテクノロジと手法を指します。 脅威検出は、メッセージ内の異常または特性を特定することで、脅威の存在を特定するのに役立ちます。 一般的な脅威検出には、次のようなものがあります。
- スプーフィング: 送信者のメール アドレスが信頼できるソースのように偽造されたタイミングを識別します。
- 偽装: 電子メール メッセージが、エグゼクティブや信頼できるビジネス パートナーなどの正当なエンティティになりすますと、受信者をだまして有害なアクションを実行することを検出します。
- URL の評判: 電子メールに含まれる URL の評判を評価して、悪意のある Web サイトにつながるかどうかを判断します。
- その他のフィルター
脅威の分類
脅威分類 は、意図と攻撃の特定の性質に基づいて脅威を分類するプロセスです。 脅威分類システムでは、LLM、ML モデル、およびその他の高度な手法を使用して、脅威の背後にある意図を理解し、より正確な分類を提供します。 システムの進化に伴い、新たな攻撃方法に対応する新しい脅威分類が期待できます。
次の一覧では、さまざまな脅威クラスについて説明します。
前払い詐欺: 被害者は、前払いまたは一連の支払いと引き換えに、大きな金銭的報酬、契約、または賞品を約束されます。これは攻撃者が提供することはありません。
ビジネス インテリジェンス: ベンダーまたは請求書に関する情報の要求。攻撃者は、多くの場合、信頼できるソースを模倣する似たドメインから、さらに標的型攻撃のプロファイルを構築するために使用されます。
コールバック フィッシング: 攻撃者は、電話やその他の通信チャネルを使用して、個人を操作して機密情報を明らかにしたり、セキュリティを侵害するアクションを実行したりします。
連絡先の確立: メッセージ (多くの場合、一般的なテキスト) をEmailして、受信トレイがアクティブかどうかを確認し、会話を開始します。 これらのメッセージは、セキュリティ フィルターをバイパスし、悪意のある将来のメッセージに対して信頼できる評判を構築することを目的とします。
資格情報フィッシング: 攻撃者は、不正な Web サイトまたは操作的な電子メール プロンプトを通じて、個人をだまして資格情報を入力することで、ユーザー名とパスワードを盗もうとします。
クレジット カードコレクション: 攻撃者は、正当と思われる偽のメール メッセージ、Web サイト、またはメッセージを通じて支払い情報を提供するよう個人を欺くことによって、クレジット カード情報やその他の個人情報を盗もうとします。
強要: 攻撃者は、身代金が支払われる場合を除き、機密情報の公開、システムの侵害、または悪意のあるアクションの実行を脅かします。 通常、この種の攻撃には、被害者をコンプライアンスに強制するための心理的操作が含まれます。
ギフト カード: 攻撃者は信頼できる個人または組織になりすます。多くの場合、ソーシャル エンジニアリング戦術を使用して、受信者にギフト カード コードを購入して送信するよう誘導します。
請求書詐欺: 受信者をだまして攻撃者に支払いを行うことを意図して、既存の請求書の詳細を変更するか、不正な請求書を送信することによって、正当に見える請求書。
給与詐欺: ユーザーを操作して給与計算や個人用アカウントの詳細を更新し、攻撃者のコントロールに資金を流用します。
個人を特定できる情報 (PII) の収集: 攻撃者は、CEO などの高位の個人になりすまして個人情報を要求します。 多くの場合、これらの電子メール メッセージには、検出を回避するために WhatsApp やテキスト メッセージなどの外部通信チャネルへのシフトが続きます。
ソーシャル OAuth フィッシング: 攻撃者はシングル サインオン (SSO) または OAuth サービスを使用して、ユーザーを欺いてサインイン資格情報を提供し、個人アカウントに不正アクセスします。
タスク詐欺: 特定のタスクに関する支援を求める、一見安全なメール メッセージを短くします。 これらの要求は、情報を収集したり、セキュリティを侵害する可能性のあるアクションを誘導するように設計されています。
脅威分類の結果を利用できる場所
脅威分類の結果は、Defender for Office 365の次のエクスペリエンスで利用できます。