SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ～ Proofpointが発見

　日本プルーフポイント株式会社は6月17日、SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能を発見したと同社ブログで発表した。

　同社によると Office 365またはMicrosoft 365には、ランサムウェアが SharePoint 及び OneDrive に保存されたファイルに対し、専用のバックアップまたは攻撃者からの復号キーがなければ復元できないよう暗号化が可能となる潜在的に危険な機能が存在するという。

　SharePoint Online 及び OneDrive の全てのドキュメントライブラリには、ユーザー設定可能な保存バージョン数の設定があり、サイト所有者は他のロールに関係なく変更でき、設計上、ドキュメントライブラリのバージョンの数を減らすと、ドキュメントライブラリ内のファイルにさらに変更を加えることで、古いバージョンの復元が困難になる。攻撃者がバージョン管理の仕組みを悪用するには、ファイルのバージョンを過剰に作成すること、ドキュメントライブラリのバージョンの数を減らすことの2つが挙げられる。

　Proofpointチームでは、攻撃チェーンを特定し、そのステップを下記の通り文書化している。これらのステップは、Microsoft API、コマンドラインインターフェース（CLI）スクリプト、PowerShellスクリプトで自動化できる。

1.初期アクセス：
　ユーザーのIDを侵害またはハイジャックすることで、1人以上のユーザーの SharePoint Online または OneDrive アカウントにアクセス

2.アカウントの乗っ取りと探索：
　侵害されたユーザーが所有する、またはサードパーティのOAuthアプリケーションが制御するすべてのファイル（ユーザーのOneDriveアカウントも含む）にアクセス可能となる

3.データ収集と流出：
　ファイルのバージョン制限を1などの低い数値に減らす、またはバージョン制限よりも多くの回数のファイルを暗号化する。バージョン制限数が1の場合、攻撃者はファイルを2回暗号化する。このステップは、クラウド型ランサムウェアに特有のもの。

4.マネタイズ：
　すべてのオリジナル（攻撃前）バージョンのファイルが失われ、クラウド・アカウントには各ファイルの暗号化されたバージョンだけが残る。攻撃者は身代金の要求ができる