Microsoft SharePointにイベントログを改ざんしてダウンロード可能な不具合
マイナビニュース2024年4月11日(木)10時42分
Varonisは4月9日(米国時間)、「Sidestepping SharePoint Security: Two New Techniques to Evade Exfiltration Detection|Varonis」において、Microsoft SharePointからダウンロードイベントの記録を改ざんしてファイルをダウンロードする2つの手法を発見したと報じた。この手法を用いると、攻撃者がセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性がある。
○ダウンロードイベントが抱えるリスク
ユーザーがSharePointからファイルやフォルダをダウンロードすると、監査ログにダウンロードイベント「FileDownloaded」が記録される。セキュリティソリューションはこのイベントを使用してポリシー違反を検出することができる。
攻撃者がダウンロードイベントの記録を回避してダウンロード可能になると、セキュリティソリューションの検出機能を回避できる場合があり、被害の拡大につながる可能性がある。
○ダウンロードイベントの改ざん
Varonisはダウンロードイベントの記録を改ざんしてダウンロードする手法を2つ発見したとして、その詳細を解説している。それら手法の概要は次のとおり。
○(1)アプリで開く
ファイルをアプリで開いて保存した場合、ファイルダウンロードイベントは記録されない。この手法を使うとファイルのアクセスイベントのみが記録されるため、セキュリティソリューションからは通常の活動の一環として無視される可能性がある。この作業を手作業で行うのは大変だが、PowerShellとSharePointクライアント側オブジェクトモデル(CSOM: Client Side Object Model)を併用することで自動化することができる。
○(2)ファイル同期
SharePointのファイル同期機能を使用するとクラウドとローカルPC間でファイルを複製することができる。この機能を使用するとダウンロード時に「FileSyncDownloadedFull」イベントが記録される。また、Microsoft SkyDriveSyncを使用するとすべてのダウンロードイベントがFileSyncDownloadedFullイベントとして記録される。
攻撃者はこの動作を悪用し、ブラウザのユーザーエージェントをSkyDriveSyncにスプーフィング(偽装)してファイルをダウンロードすることで、ダウンロードイベントをFileSyncDownloadedFullイベントに変更できる。また、この手法はPowerShellを使用して自動化することもできる。
○対策
Varonisはこの不具合を2023年11月にMicrosoftに報告している。しかしながら、Microsoftは「中程度」のセキュリティ問題としてパッチバックログプログラムに不具合を追加しており、修正パッチの提供は時間がかかる見込みとなっている。
そのため、修正パッチが提供されるまでの間、セキュリティ担当者は従来の方法に加えて追加の検出手法を取り入れる必要がある。Varonisはそのような検出手法として次のような方法を提案している。
ダウンロードイベントをこれまで通り検査する
ユーザーごとの同期アクティビティーの一般的な頻度と量の変化を検出する
同期操作に使用されるデバイスの変化を検出する
従来と異なる位置(アクセス元)からの操作を検出する
通常とは異なるフォルダーの同期を検出する(特定のフォルダーはユーザーアカウントと同期する)
上記のような方法でイベントログを常時検査し、通常のワークフローではないと考えられる大量のデータアクセスやフォルダ同期などが検出された場合はサイバー攻撃の可能性があるため注意することが望まれている。Varonisはこのような方法でログを監査できる高度なセキュリティソリューションの導入を推奨している。
○ダウンロードイベントが抱えるリスク
ユーザーがSharePointからファイルやフォルダをダウンロードすると、監査ログにダウンロードイベント「FileDownloaded」が記録される。セキュリティソリューションはこのイベントを使用してポリシー違反を検出することができる。
攻撃者がダウンロードイベントの記録を回避してダウンロード可能になると、セキュリティソリューションの検出機能を回避できる場合があり、被害の拡大につながる可能性がある。
○ダウンロードイベントの改ざん
Varonisはダウンロードイベントの記録を改ざんしてダウンロードする手法を2つ発見したとして、その詳細を解説している。それら手法の概要は次のとおり。
○(1)アプリで開く
ファイルをアプリで開いて保存した場合、ファイルダウンロードイベントは記録されない。この手法を使うとファイルのアクセスイベントのみが記録されるため、セキュリティソリューションからは通常の活動の一環として無視される可能性がある。この作業を手作業で行うのは大変だが、PowerShellとSharePointクライアント側オブジェクトモデル(CSOM: Client Side Object Model)を併用することで自動化することができる。
○(2)ファイル同期
SharePointのファイル同期機能を使用するとクラウドとローカルPC間でファイルを複製することができる。この機能を使用するとダウンロード時に「FileSyncDownloadedFull」イベントが記録される。また、Microsoft SkyDriveSyncを使用するとすべてのダウンロードイベントがFileSyncDownloadedFullイベントとして記録される。
攻撃者はこの動作を悪用し、ブラウザのユーザーエージェントをSkyDriveSyncにスプーフィング(偽装)してファイルをダウンロードすることで、ダウンロードイベントをFileSyncDownloadedFullイベントに変更できる。また、この手法はPowerShellを使用して自動化することもできる。
○対策
Varonisはこの不具合を2023年11月にMicrosoftに報告している。しかしながら、Microsoftは「中程度」のセキュリティ問題としてパッチバックログプログラムに不具合を追加しており、修正パッチの提供は時間がかかる見込みとなっている。
そのため、修正パッチが提供されるまでの間、セキュリティ担当者は従来の方法に加えて追加の検出手法を取り入れる必要がある。Varonisはそのような検出手法として次のような方法を提案している。
ダウンロードイベントをこれまで通り検査する
ユーザーごとの同期アクティビティーの一般的な頻度と量の変化を検出する
同期操作に使用されるデバイスの変化を検出する
従来と異なる位置(アクセス元)からの操作を検出する
通常とは異なるフォルダーの同期を検出する(特定のフォルダーはユーザーアカウントと同期する)
上記のような方法でイベントログを常時検査し、通常のワークフローではないと考えられる大量のデータアクセスやフォルダ同期などが検出された場合はサイバー攻撃の可能性があるため注意することが望まれている。Varonisはこのような方法でログを監査できる高度なセキュリティソリューションの導入を推奨している。
「Share」をもっと詳しく
「Share」のニュース
-
米国におけるiPhoneのアクティベーションシェアが33%に減少5月1日7時31分
-
株式会社ストラテジックキャピタルが大阪製鐵株式会社への株主提案及び同提案に関する特集サイト開設の予定を公表4月30日16時16分
-
株式会社ストラテジックキャピタルが東亜道路工業株式会社への株主提案及び同提案に関する特集サイト開設の予定を公表4月30日16時16分
-
株式会社ストラテジックキャピタルが日産車体株式会社への株主提案及び同提案に関する特集サイト開設の予定を公表4月30日16時16分
-
株式会社ストラテジックキャピタルが文化シヤッター株式会社への株主提案及び同提案に関する特集サイト開設の予定を公表4月27日17時40分
-
株式会社ストラテジックキャピタルが極東開発工業株式会社への株主提案及び同提案に関する特集サイト開設の予定を公表4月27日17時40分
-
株式会社ストラテジックキャピタルが京阪神ビルディング株式会社への株主提案及び同提案に関する特集サイトの開設を公表4月26日19時46分
-
株式会社ストラテジックキャピタルが株式会社淀川製鋼所への株主提案及び同提案に関する特集サイトの開設を公表4月24日18時46分
-
Tinderから新機能「Share My Date」が登場!4月22日16時16分
-
LF Resarch 調査レポート「共通の課題に立ち向かう:2023年 Open Source Congress レポート」を公開4月17日18時16分