OneDriveのデスクトップファイルを勝手にクラウドにアップロードするアレとは？：セキュリティニュースアラート

Entro Securityは、OneDriveの自動同期機能により、企業の秘密情報が意図せずSharePointに同期される危険性を報告した。利便性が高い半面、同期機能が情報漏えいの経路となるため、企業は対策が必要だ。

[後藤大地，有限会社オングス]

　Entro Securityは2025年9月16日（現地時間）、「Microsoft OneDrive」の自動同期機能が企業の秘密情報を広範に露出させる危険性を持つことを明らかにした。

　企業内で露出した秘密情報の約5件に1件は「Microsoft SharePoint」から発生し、その要因の多くは高度な攻撃手法ではなく、既定で有効化されている自動同期機能に起因するとの調査結果を報告している。

OneDriveの自動同期がひそかに広げる企業情報の漏えいリスク

　問題の根幹は、ビジネス向けのクラウドストレージとファイル共有サービス「OneDrive for Business」の「Known Folder Move」（KFM）機能にある。KFMは利便性を目的として、ユーザーの「デスクトップ」や「ドキュメント」フォルダを自動的にOneDriveに同期し、その結果、エンタープライズ環境では「Microsoft SharePoint Online」のライブラリーに保存される仕組みとなっている。

　この設計はユーザーにとっては利便性を提供するが、セキュリティの観点では危険を伴う。開発時に利用される「.env」ファイルや設定用の「.json」ファイル、もしくは「passwords.xlsx」といったファイルが自動でクラウドに移動し、組織全体に潜在的な露出を生じさせる。

　同期されたファイルはMicrosoft SharePointの共有モデルに従い、所有者だけでなくチームや管理者が閲覧可能となる。管理者は自らをサイトコレクション管理者に設定できるため、ユーザーのローカル環境から同期されているファイルに容易にアクセスできる。「Microsoft 365」のアカウントが侵害されると、攻撃者は電子メールやアプリケーションに加え、同期済みのローカルファイルにもアクセス可能となる。

　調査において、秘密情報を含むファイル形式に顕著な傾向が確認されている。特に「Microsoft Excel」ファイルが突出しており、Microsoft SharePointに存在する秘密情報の半数以上がMicrosoft Excelのシート由来だった。そこにはパスワードや認証トークンが便宜的に記録されるケースが多い。

　次いで多いのはテキスト系ファイル（.txt、.json、.pem）で全体の18％を占め、証明書や設定情報が平文で保存されていた。PowerShellスクリプト（.ps1）、SQLダンプ（.sql）、「Microsoft Word」文書（.docx）、「Microsoft OneNote」（.one）といった形式にも認証情報が含まれていた。これらはソースコード管理や継続的インテグレーションおよび継続的デリバリーシステム（CI/CD）環境と異なり、日常的に生成、共有されるため、組織内で広範に拡散しやすい。

　問題は開発者の習慣とも密接に関係している。従来の推奨事項において、秘密情報をコード内に直接書き込むのではなく、環境変数や.envファイルとしてローカル保存する方法が案内されてきた。しかしOneDriveの自動同期と組み合わさると、この方法自体が漏えい経路へと変貌する。ローカル専用のはずのファイルがクラウドに転送され、Microsoft SharePointで検索可能となることで、攻撃者にとっては大規模な情報探索が容易になる。

　実際の侵害シナリオにおいて、攻撃者はGraph APIや自動化スクリプトを駆使し、数千人規模のユーザー環境を短時間で走査が可能とされている。管理者権限のアカウントが不正利用されている場合、組織全体の秘密情報が一斉に収集される事態につながりうる。

　Microsoft OneDriveの仕様は個人利用と業務利用の境界を曖昧（あいまい）にする傾向がある。「Windows」環境において、個人アカウントと業務アカウントが同一端末で検出されると、自動的に同期が促され、ユーザーが承諾すると個人用ファイルと業務用ファイルが同時に同期される場合がある。この挙動により、企業データが個人領域に流入する、もしくは個人データが業務領域に混在する危険性が生じる。

　この他、Microsoft SharePointやMicrosoft OneDriveはフィッシング攻撃の標的としても頻繁に悪用されている。Microsoftブランドを装った偽の共有通知や多要素認証の偽装が利用され、認証情報が窃取される事例は後を絶たない。攻撃者が単一のアカウントを侵害した場合、単純なキーワード検索により「password」「AWS」「token」といった語を含む秘密情報を効率的に発見できる。

　Entro Securityは、同期機能の停止やポリシーによる制御、Microsoft SharePoint環境内の秘密情報検出といった複数の対策を提示している。既定で有効化される自動同期は、利便性を提供するが、秘密情報の露出範囲を拡大する要因にもなる。組織はこのリスクを正確に認識し、対策を講じる必要がある。