この記事では、フィッシング プレイブックについて説明します。 これは、 セキュリティ運用 (SecOps) 規範のインシデント対応プレイブック ガイダンスの一部です。
このプレイブックは、SecOps アナリスト、インシデント レスポンダー、ID 管理者、IT 運用スタッフなど、インシデント対応プレイブックの構築または実行を担当するすべてのロールを対象としています。
フィッシング攻撃は、敵対者が使用する最も一般的な初期アクセス手法の 1 つです。 フィッシング攻撃が成功すると、資格情報の侵害、マルウェアの実行、データ流出、ID、電子メール、エンドポイントの環境全体の横移動につながる可能性があります。
この記事のガイダンスでは、調査する内容とその理由について説明します。 製品固有の例 (Microsoft Defender XDRやMicrosoft Sentinelなど) は、参照実装として提供されます。
開始する前に
フィッシング調査を開始する前に、次のベースライン準備要件が満たされていることを確認します。 これらの前提条件は、インシデント対応計画の一環としてインシデントが発生する前に完了する必要があります。
| Area | 要件 | 詳細情報 |
|---|---|---|
| アカウント情報 | 疑わしいターゲット ユーザーの識別子を少なくとも 1 つ持つ | 識別子には、ユーザー プリンシパル名 (UPN)、電子メール アドレス、またはユーザー名/エイリアスを指定できます。 この情報は、電子メール アクティビティ、サインイン、ダウンストリーム アクションを関連付けるために必要です。 |
| Microsoft 365 監査/ログ記録 | メールボックスの監査を組織全体で有効にして、メールボックスのアクセスとアクションが確実に記録されるようにする必要があります。 | Exchange Online PowerShell: Get-OrganizationConfig | Format-List AuditDisable/ で次のコマンドを実行して、メールボックスの監査が既定で有効になっていることを確認します。 False の値は、メールボックス監査がすべてのメールボックスに対して有効になっていることを示します。 |
| Microsoft 365 監査/ログ記録 | 元のフィッシング メッセージ、配信状態、すべての受信者、メッセージ ルーティングの詳細を識別するには、メッセージ トレース ログが必要です。 | メッセージ トレースは、Exchange管理センター、Microsoft Defender ポータル (電子メールとコラボレーション > Exchange メッセージ トレース) で使用できます。 メッセージ トレース データを効果的に操作するには、調査担当者が未加工の電子メール ヘッダーから取得された Message-ID 値を取得して解釈できる必要があります。 |
| Microsoft 365 監査/ログ記録 | 統合監査ログは、Microsoft 365ワークロード全体のユーザーと管理のアクティビティを確認するために必要です。 | 調査担当者が統合監査ログを検索して、メールボックス アクセス、メール アイテムアクション、管理上の変更、サインイン関連のイベントなどのアクションを確認できることを確認します。 |
| Microsoft Entra ログ | Microsoft Entra IDサインインと監査ログは、限られた期間 (ライセンスに応じて 30 日または 90 日間) 保持されます。 | 調査、履歴分析、インシデント後のレビューをサポートするには、Microsoft Sentinel、Azure Monitor、サード パーティの SIEM などの長期的なリポジトリにログをエクスポートします。 |
| アクセス許可 | アカウントを過剰に特権化することなく、調査担当者が必要なデータにアクセスするための十分なアクセス許可を持っていることを確認します。 | Microsoft Entra ID: 最小推奨ロールはセキュリティ閲覧者です。 Defender ポータルと Microsoft コンプライアンス ポータル: セキュリティ閲覧者。 これらのロールは、電子メール、アラート、監査データへの読み取り専用アクセスを提供します。 |
| エンドポイントの可視性 | Microsoft Defender for Endpoint(エンドポイント用マイクロソフトディフェンダー) | エンドポイントDefenderがインストールされている場合は、次の目的に使用します。 - ユーザーがフィッシング コンテンツと対話したかどうかを検証します。 - ペイロードの実行を識別します。 - エンドポイント アクティビティを電子メール イベントと関連付けます。 |
| ハードウェア | PowerShell を実行できるシステム。 | |
| ソフトウェア | これらの PowerShell モジュールは、フィッシング調査中に一般的に使用されます | Microsoft Graph PowerShell SDK Exchange Online PowerShell モジュール Microsoft Entra インシデント レスポンス PowerShell モジュール すべてのモジュールがインストールされ、最新の状態に保たれていることを確認します。 |
Workflow
フィッシング調査ワークフローは、次の大まかなステージに従います。
- フィッシング メッセージを特定して確認します。
- 影響の範囲と影響を受けるユーザーを特定します。
- ユーザーの操作と資格情報の公開を評価します。
- ダウンストリーム アクティビティを特定します。
- 脅威を封じ込め、再発を防止する
このワークフローは、重要な検証手順をスキップすることなく、レスポンダーが検出から封じ込めへと移行するのに役立ちます。
確認すべきこと
このチェックリストは、調査中の品質ゲートとして使用します。
- フィッシングメールと元のメッセージ ID を特定する
- すべての受信者と配信状態を確認する
- ユーザーがメッセージを操作したかどうかを特定する
- 資格情報の侵害またはマルウェアの実行を評価する
- 横方向のアクティビティまたは後続アクティビティを識別する
- メールボックスから悪意のあるメッセージを削除する
- 影響を受けたアカウントをリセットまたはセキュリティで保護する
- 検出と防止の制御を改善する
調査手順
手順 1: フィッシング メッセージを特定する
フィッシング詐欺の疑いのあるメールを取得します。
電子メール ヘッダーからメッセージ ID を抽出します。
メッセージ・トレースを使用して以下を判別します。
- メッセージが受信されたとき
- どのユーザーが受け取ったか
- 配信、ブロック、または検疫されたかどうか
ステップ 2: 影響を受けるユーザーの範囲を特定する
- メッセージのすべての受信者を識別する
- メッセージがフィルターをバイパスしたかどうかを確認する
- 同じキャンペーンのバリエーションを使用して類似のメッセージが送信されたかどうかを判断する
手順 3: ユーザーの操作を評価する
影響を受けるユーザーごとに、次の操作を行うかどうかを判断します。
- 電子メールを開いた
- クリックされたリンク
- 開いている添付ファイル
- 送信された資格情報
電子メール アクティビティを次の内容に関連付ける
- Microsoft Entra のサインイン ログ
- 監査ログ
- エンドポイント アクティビティ (使用可能な場合)
手順 4: 後続のアクティビティを特定する
資格情報が公開されている可能性がある場合は、以下を調査します。
- 疑わしいサインイン
- パスワード スプレーまたはブルート フォース アクティビティ
- OAuth の同意付与
- トークンの不正使用
- 通常とは異なるメールボックスまたはコラボレーション アクティビティ
添付ファイルが開かれた場合は、エンドポイントでマルウェアが実行されたかどうかを検証します。
手順 5: 封じ込めと修復
結果に基づく:
- すべてのメールボックスからフィッシング メッセージを削除する。無効化またはリセット。
- 侵害されたアカウント。
- アクティブなセッションとトークンを取り消します。
- 悪意のある送信者、ドメイン、URL をブロックします。
- 影響を受けたエンドポイントを分離または修復します。
手順 6: 回復
封じ込めた後は、通常の操作の復元と繰り返しのリスクの軽減に焦点を当てます。
復旧アクションには、次のものが含まれます。
- 資格情報のリセットと多要素認証の適用
- メールボックス ルールと転送設定の確認
- 電子メール のフィルター処理とフィッシング対策ポリシーの改善
- 検出とアラートの更新
- フィッシング対応プレイブックの更新または調整
次のステップ
SecOps 規範の詳細を確認します。