ニュース
SharePointのダウンロードイベントログを回避する2つの手法が見つかる:セキュリティニュースアラート
VaronisはSharePointのダウンロードイベントログを回避する2つの方法を発見した。これらの手法を使用することでサイバー攻撃者はセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性がある。
セキュリティ企業のVaronisは2024年4月9日(現地時間)、「Microsoft SharePoint」(以下、SharePoint)のダウンロードイベントログの記録を巧妙に回避してファイルをダウンロードする2つの方法を発見したと伝えた。これらを使用するとサイバー攻撃者はセキュリティソリューションの検出を回避して大量のファイルをダウンロードできる可能性があるという。
SharePointのダウンロードイベントログを回避する2つの方法
SharePointはユーザーがファイルやフォルダなどをダウンロードすると監査ログにダウンロードイベント「FileDownloaded」を記録する。セキュリティソリューションはこのイベントログを使ってポリシー違反を検出する。
Varonisはこうしたダウンロードイベントのログを回避してダウンロードする方法を発見したとし、次の2つの点を説明した。
- SharePointはアプリケーションがファイルを開いて保存した場合にはファイルダウンロードイベントを記録しない。この方法を使うとファイルのアクセスイベントのみが記録されるため、セキュリティソリューションはダウンロードではなく通常の作業の一部としてイベントを無視する可能性がある。この作業を手作業で実施するのは非効率だが、「PowerShell」およびSharePointクライアント側オブジェクトモデルを併用することで自動化できる
- SharePointのファイル同期機能を使用することでクラウドおよびローカルPC間でファイルを同期できる。この機能を使うとダウンロード時に「FileSyncDownloadedFull」イベントが記録される。同様に「SkyDriveSync」を使った場合には全てのダウンロードイベントが「FileSyncDownloadedFull」イベントとして記録される。サイバー攻撃者はこの動作を利用し、WebブラウザのユーザーエージェントをSkyDriveSyncに偽装してファイルをダウンロードすることでダウンロードイベントを「FileSyncDownloadedFull」イベントとして記録できる。上記と同様に、こちらの手順に関してもPowerShellを使って自動化できる
Varonisは修正パッチが提供されるまでに次のような検出方法を実施するなどして検出対象を広げることを推奨している。
- ダウンロードイベントを検査する(従来と同じ)
- ユーザーごとの同期アクティビティーの頻度と量の変化を検出する
- 同期操作に使用されるデバイスの変化を検出する
- 従来と異なるアクセス元からの操作を検出する
- 通常とは異なるフォルダの同期を検出する
Varonisは上記のように検出対象を広げてモニタリングを実施し、通常のワークフローではないと考えられるデータアクセスやフォルダ同期などを検出した場合には、サイバー攻撃の可能性があるとために注意するように呼びかけている。
関連記事
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
Microsoftは2024年4月1日から「Copilot for Security」の提供を開始した。Copilot for Securityは、新しいMicrosoft Entraのスキルを搭載し、IDとセキュリティインシデントの解決を支援する。マイクロソフトはプロンプトの実例も公開した。 - SentinelOneが生成AIツール「Purple AI」を一般提供 セキュリティチームの効率化支援
SentinelOneは生成AIプラットフォーム「Purple AI」の一般提供を開始した。セキュリティデータへのクエリ実行と結果の要約、調査の共有と保存を自動化し、セキュリティチームの効率化を支援する。 - Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
Rustセキュリティレスポンスワーキンググループは、Rustの標準ライブラリに脆弱性(CVE-2024-24576)が存在すると報告した。サイバー攻撃者が任意のシェルコマンドを実行できる可能性がある。 - 自分を“自分”であるとどう証明すればいい? 悪用が進む「当人認証」を考える
非対面で本人であることを証明するために「eKYC」をはじめとした新たな技術が登場する中、攻撃者もこれを攻略するためにあらゆる手をこまねいています。今回は「当人認証」の現在地と筆者が予測する将来を紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.