セキュリティ企業 Proofpoint は、Microsoft Office 365 に「潜在的に危険な機能」を発見しました。この機能により、ランサムウェアは SharePoint や OneDrive に保存されているファイルを暗号化し、専用のバックアップや攻撃者からの復号キーがなければ復元できなくなります。
ランサムウェア攻撃は、通常、エンドポイントまたはネットワーク ドライブ全体のデータをターゲットにしています。
攻撃の仕組み
SharePointとOneDriveは、最も人気のあるエンタープライズクラウドアプリの2つです。攻撃が実行されると、侵害されたユーザーのアカウント内のファイルが暗号化されます。他のエンドポイントランサムウェアと同様に、これらのファイルは復号キーがなければ復元できません。
Proofpoint によれば、これらのアクションは、Microsoft API、コマンドラインインターフェース (CLI) スクリプト、PowerShell スクリプトを使用して自動化できるという。
- 初期アクセス:ユーザーの ID を侵害または乗っ取ることで、1 人以上のユーザーの SharePoint Online または OneDrive アカウントにアクセスします。
- アカウントの乗っ取りと検出:攻撃者は、侵害を受けたユーザーが所有するすべてのファイル、またはサードパーティの OAuth アプリケーションによって制御されるすべてのファイル (ユーザーの OneDrive アカウントも含まれます) にアクセスできるようになります。
- 収集と流出:ファイルのバージョン制限を1などの低い数値に設定し、容易さを保ちます。ファイルをバージョン制限よりも多く暗号化します(この場合は2回)。この手順は、エンドポイントベースのランサムウェアの攻撃チェーンとは異なり、クラウドランサムウェアに特有のものです。場合によっては、攻撃者は二重の脅迫戦術の一環として、暗号化されていないファイルを流出させる可能性があります。
- 金銭化:ファイルのオリジナル(攻撃者による攻撃前の)バージョンはすべて失われ、クラウドアカウントには各ファイルの暗号化バージョンのみが残ります。この時点で、攻撃者は組織に身代金を要求することができます。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
攻撃者はSharePoint、OneDrive内のコンテナのリスト設定を変更できる
リストとは、SharePoint Online内でタスク、カレンダー、課題、写真、ファイルなどのコンテンツを保存するMicrosoftのWebパーツです。OneDriveアカウントは主にドキュメントの保存に使用されます。Proofpointによると、OneDriveと最も関連性の高い用語は「ドキュメントライブラリ」です。
ドキュメント ライブラリは、SharePoint サイトまたは OneDrive アカウント上の特別な種類のリストであり、ドキュメントをアップロード、作成、更新し、チーム メンバーと共同作業を行うことができます。
リストとドキュメントライブラリのバージョン設定は、どちらもリスト設定にあります。前述のクラウドランサムウェア攻撃チェーンでは、攻撃者は収集と抽出の段階でリスト設定を変更します。Proofpointによると、これはそのドキュメントライブラリに含まれるすべてのファイルに影響します。
ドキュメントライブラリのバージョン管理メカニズム
SharePoint OnlineとOneDriveのすべてのドキュメントライブラリには、保存するバージョンの数をユーザーが設定できる設定があり、サイト所有者は他の役割に関係なく、この設定を変更できます。管理者の役割や関連する権限を持っている必要はありません。この設定は、各ドキュメントライブラリのリスト設定にあるバージョン管理設定で確認できます。
「設計上、ドキュメント ライブラリのバージョン制限を減らすと、ドキュメント ライブラリ内のファイルにそれ以上変更を加えると、古いバージョンを復元することが非常に困難になります」と同社は述べています。
「バージョン管理のメカニズムを悪用して悪意のある目的を達成する方法は 2 つあります。ファイルのバージョンを過剰に作成するか、ドキュメント ライブラリのバージョン制限を減らすかのいずれかです。」
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
最も一般的な攻撃経路
Proofpoint によると、攻撃者が 1 人以上のユーザーの SharePoint Online または OneDrive アカウントにアクセスするために使用する最も一般的な 3 つのパスは次のとおりです。
- アカウント侵害: フィッシング、ブルートフォース攻撃、その他の資格情報侵害戦術を通じて、ユーザーのクラウド アカウントの資格情報を直接侵害する
- サードパーティの OAuth アプリケーション: SharePoint または OneDrive へのアクセスのアプリケーション スコープを使用して、サードパーティの OAuth アプリを承認するようにユーザーを騙す
- ハイジャックされたセッション: ログインしたユーザーの Web セッションをハイジャックするか、SharePoint Online および/または OneDrive のライブ API トークンをハイジャックします。
Office 365 をセキュリティで保護する方法
Proofpointは、Office 365アカウントを強化するために、ユーザーにいくつかの対策を推奨しています。ランサムウェア対策のセキュリティ強化や、ランサムウェアが発見された場合の被害軽減のため、災害復旧およびデータバックアップポリシーの更新などが含まれます。
「理想的には、機密データを含むクラウドファイルは定期的に外部バックアップを取るべきです」と同社は述べている。「ドキュメントライブラリのバージョン管理によるバックアップの提供は、Microsoftだけに頼るべきではありません。」
危険な構成変更検出機能がトリガーされた場合:
- Microsoft 365 または Office 365 の設定で、影響を受けるドキュメント ライブラリの復元可能なバージョンをすぐに増やします。
- この Office 365 アカウントで以前にアカウント侵害や危険な構成変更のアラートが発生していないか確認します
- 疑わしいサードパーティアプリのアクティビティを検出します。検出された場合、環境内で悪意のあるアプリや使用されていないサードパーティアプリのOAuthトークンを無効にします。
- ユーザーが、クラウド、メール、ウェブ、エンドポイント全体で以前にポリシー違反の行動パターンを示したことがあるかどうかを特定します (機密データに関する過失、危険なデータ操作、危険な OAuth アプリのアクション)。
