Microsoft SharePointにイベントログを改ざんしてダウンロード可能な不具合

Varonisは4月9日(米国時間)、「Sidestepping SharePoint Security: Two New Techniques to Evade Exfiltration Detection｜Varonis」において、Microsoft SharePointからダウンロードイベントの記録を改ざんしてファイルをダウンロードする2つの手法を発見したと報じた。この手法を用いると、攻撃者がセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性がある。
○ダウンロードイベントが抱えるリスク
ユーザーがSharePointからファイルやフォルダをダウンロードすると、監査ログにダウンロードイベント「FileDownloaded」が記録される。セキュリティソリューションはこのイベントを使用してポリシー違反を検出することができる。
攻撃者がダウンロードイベントの記録を回避してダウンロード可能になると、セキュリティソリューションの検出機能を回避できる場合があり、被害の拡大につながる可能性がある。
○ダウンロードイベントの改ざん
Varonisはダウンロードイベントの記録を改ざんしてダウンロードする手法を2つ発見したとして、その詳細を解説している。それら手法の概要は次のとおり。
○（1）アプリで開く
ファイルをアプリで開いて保存した場合、ファイルダウンロードイベントは記録されない。この手法を使うとファイルのアクセスイベントのみが記録されるため、セキュリティソリューションからは通常の活動の一環として無視される可能性がある。この作業を手作業で行うのは大変だが、PowerShellとSharePointクライアント側オブジェクトモデル(CSOM: Client Side Object Model)を併用することで自動化することができる。
○（2）ファイル同期
SharePointのファイル同期機能を使用するとクラウドとローカルPC間でファイルを複製することができる。この機能を使用するとダウンロード時に「FileSyncDownloadedFull」イベントが記録される。また、Microsoft SkyDriveSyncを使用するとすべてのダウンロードイベントがFileSyncDownloadedFullイベントとして記録される。
攻撃者はこの動作を悪用し、ブラウザのユーザーエージェントをSkyDriveSyncにスプーフィング(偽装)してファイルをダウンロードすることで、ダウンロードイベントをFileSyncDownloadedFullイベントに変更できる。また、この手法はPowerShellを使用して自動化することもできる。
○対策
Varonisはこの不具合を2023年11月にMicrosoftに報告している。しかしながら、Microsoftは「中程度」のセキュリティ問題としてパッチバックログプログラムに不具合を追加しており、修正パッチの提供は時間がかかる見込みとなっている。
そのため、修正パッチが提供されるまでの間、セキュリティ担当者は従来の方法に加えて追加の検出手法を取り入れる必要がある。Varonisはそのような検出手法として次のような方法を提案している。
ダウンロードイベントをこれまで通り検査する
ユーザーごとの同期アクティビティーの一般的な頻度と量の変化を検出する
同期操作に使用されるデバイスの変化を検出する
従来と異なる位置(アクセス元)からの操作を検出する
通常とは異なるフォルダーの同期を検出する(特定のフォルダーはユーザーアカウントと同期する)
上記のような方法でイベントログを常時検査し、通常のワークフローではないと考えられる大量のデータアクセスやフォルダ同期などが検出された場合はサイバー攻撃の可能性があるため注意することが望まれている。Varonisはこのような方法でログを監査できる高度なセキュリティソリューションの導入を推奨している。