コンテンツにスキップ
MDR のサポート提供の詳細をご確認ください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/customer/help/ja-jp/index.html?contextId=ms-graph-v2-cases

MS Graph セキュリティ API V2 ケーススタディ

API 生産性

MDR は、8つの異なる IP アドレス、2つの異なる Chrome バージョンのユーザーエージェント文字列、および Windows NT と Macintosh の両方を持つユーザーエージェント文字列を、すべて同じセッション内で識別しました。この種類のアクションは一般的に、Evilginx、Modlishka、Muraena のような Middle (AITM) プラットフォームの攻撃者によって引き起こされます。そこでは、ユーザーの認証情報とトークンがキャプチャされ、それらが攻撃者がトークンまたは認証情報を使用して M365 にログインする新しい IP から再実行されます。

詳細な調査の結果、MDR は、同じ顧客内で侵害された他の 6人のユーザーを特定しました。その中には、次のような注意すべき属性を持つ受信ルールを持つ複数のユーザーが含まれます。

  • MarkAsRead: このパラメータが true の場合、メールは Read としてマークされます。攻撃者はこの仕組みを使用して侵害を隠蔽します。
  • Name: 受信ルールに付けられた名前。この場合、攻撃者には "s" という名前を付けました。攻撃者は通常、受信ルールに注目されないように短い名前を使用します。
  • SubjectOrBodyContainsWords: 攻撃者は、この SubjectOrBodyContainsWords 属性を使用して、キーワードを含むメールをフィルタリングできます。この例では、攻撃者はキーワードをフィルタリングし、一致するメールを移動しました。
  • DeleteMessage: DeleteMessage が True の場合、メールは削除され、エンドユーザーはメールが存在したことを認識しません。

これらの属性をすべてまとめると、ユーザーがメールを受信したときに、件名または本文に "hacked"、"phishing"、"malicious"、"suspicious"、"fraud"、"MFA" が含まれている場合、メールは読み取り済みとしてマークされ、削除されます。これにより、エンドユーザーは侵害される可能性があるという事実を隠されます。