SharePointのダウンロードイベントログを回避する2つの手法が見つかるセキュリティニュースアラート

VaronisはSharePointのダウンロードイベントログを回避する2つの方法を発見した。これらの手法を使用することでサイバー攻撃者はセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性がある。

» 2024年04月15日 08時00分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 セキュリティ企業のVaronisは2024年4月9日(現地時間)、「Microsoft SharePoint」(以下、SharePoint)のダウンロードイベントログの記録を巧妙に回避してファイルをダウンロードする2つの方法を発見したと伝えた。これらを使用するとサイバー攻撃者はセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性があるという。

SharePointのダウンロードイベントログを回避する2つの方法

 SharePointはユーザーがファイルやフォルダなどをダウンロードすると監査ログにダウンロードイベント「FileDownloaded」を記録する。セキュリティソリューションはこのイベントログを使ってポリシー違反を検出する。

 Varonisはこうしたダウンロードイベントのログを回避してダウンロードする方法を発見したとし、次の2つの点を説明した。

  1. SharePointはアプリケーションがファイルを開いて保存した場合にはファイルダウンロードイベントを記録しない。この方法を使うとファイルのアクセスイベントのみが記録されるため、セキュリティソリューションはダウンロードではなく通常の作業の一部としてイベントを無視する可能性がある。この作業を手作業で実施するのは非効率だが、「PowerShell」およびSharePointクライアント側オブジェクトモデルを併用することで自動化できる
  2. SharePointのファイル同期機能を使用することでクラウドおよびローカルPC間でファイルを同期できる。この機能を使うとダウンロード時に「FileSyncDownloadedFull」イベントが記録される。同様に「SkyDriveSync」を使った場合には全てのダウンロードイベントが「FileSyncDownloadedFull」イベントとして記録される。サイバー攻撃者はこの動作を利用し、WebブラウザのユーザーエージェントをSkyDriveSyncに偽装してファイルをダウンロードすることでダウンロードイベントを「FileSyncDownloadedFull」イベントとして記録できる。上記と同様に、こちらの手順に関してもPowerShellを使って自動化できる

 Varonisは修正パッチが提供されるまでに次のような検出方法を実施するなどして検出対象を広げることを推奨している。

  • ダウンロードイベントを検査する(従来と同じ)
  • ユーザーごとの同期アクティビティーの頻度と量の変化を検出する
  • 同期操作に使用されるデバイスの変化を検出する
  • 従来と異なるアクセス元からの操作を検出する
  • 通常とは異なるフォルダの同期を検出する

 Varonisは上記のように検出対象を広げてモニタリングを実施し、通常のワークフローではないと考えられるデータアクセスやフォルダ同期などを検出した場合には、サイバー攻撃の可能性があるとために注意するように呼びかけている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ