SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見 | ScanNetSecurity
2022.07.01(金)

SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能 ~ Proofpointが発見

 日本プルーフポイント株式会社は6月17日、SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能を発見したと同社ブログで発表した。

脆弱性と脅威 脅威動向
クラウドランサムウェアの攻撃チェーン図
クラウドランサムウェアの攻撃チェーン図 全 1 枚 拡大写真

 日本プルーフポイント株式会社は6月17日、SharePoint 及び OneDrive上のファイルを身代金請求できるMicrosoft Office 365の機能を発見したと同社ブログで発表した。

 同社によると Office 365またはMicrosoft 365には、ランサムウェアが SharePoint 及び OneDrive に保存されたファイルに対し、専用のバックアップまたは攻撃者からの復号キーがなければ復元できないよう暗号化が可能となる潜在的に危険な機能が存在するという。

 SharePoint Online 及び OneDrive の全てのドキュメントライブラリには、ユーザー設定可能な保存バージョン数の設定があり、サイト所有者は他のロールに関係なく変更でき、設計上、ドキュメントライブラリのバージョンの数を減らすと、ドキュメントライブラリ内のファイルにさらに変更を加えることで、古いバージョンの復元が困難になる。攻撃者がバージョン管理の仕組みを悪用するには、ファイルのバージョンを過剰に作成すること、ドキュメントライブラリのバージョンの数を減らすことの2つが挙げられる。

 Proofpointチームでは、攻撃チェーンを特定し、そのステップを下記の通り文書化している。これらのステップは、Microsoft API、コマンドラインインターフェース(CLI)スクリプト、PowerShellスクリプトで自動化できる。

1.初期アクセス:
 ユーザーのIDを侵害またはハイジャックすることで、1人以上のユーザーの SharePoint Online または OneDrive アカウントにアクセス

2.アカウントの乗っ取りと探索:
 侵害されたユーザーが所有する、またはサードパーティのOAuthアプリケーションが制御するすべてのファイル(ユーザーのOneDriveアカウントも含む)にアクセス可能となる

3.データ収集と流出:
 ファイルのバージョン制限を1などの低い数値に減らす、またはバージョン制限よりも多くの回数のファイルを暗号化する。バージョン制限数が1の場合、攻撃者はファイルを2回暗号化する。このステップは、クラウド型ランサムウェアに特有のもの。

4.マネタイズ:
 すべてのオリジナル(攻撃前)バージョンのファイルが失われ、クラウド・アカウントには各ファイルの暗号化されたバージョンだけが残る。攻撃者は身代金の要求ができる

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書」を公開

    つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書」を公開

  2. Microsoft Edge の IE モードについて公式が解説

    Microsoft Edge の IE モードについて公式が解説

  3. また上野宣が社外取締役、GSX選任

    また上野宣が社外取締役、GSX選任

  4. 「Webシステム/Webアプリケーションセキュリティ要件書 Ver.4.0」を公開、多要素認証やパスワード等更新

    「Webシステム/Webアプリケーションセキュリティ要件書 Ver.4.0」を公開、多要素認証やパスワード等更新

  5. DMARC導入企業が半数近くに、猛威振るうあのマルウェアが普及加速の一因か?

    DMARC導入企業が半数近くに、猛威振るうあのマルウェアが普及加速の一因か?PR

  6. 尼崎市全市民の住民基本台帳を記録したUSBメモリ、再々委託先が紛失

    尼崎市全市民の住民基本台帳を記録したUSBメモリ、再々委託先が紛失

  7. MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証

    MSDTの脆弱性(CVE-2022-30190、Follina)を悪用したWordファイルについて検証

  8. 矢野経済研究所にSQLインジェクション攻撃、最大101,988件の会員情報が流出

    矢野経済研究所にSQLインジェクション攻撃、最大101,988件の会員情報が流出

  9. 障害者就労支援などを行うLITALICOにランサムウェア攻撃、業務遂行には支障なし

    障害者就労支援などを行うLITALICOにランサムウェア攻撃、業務遂行には支障なし

  10. イエラエ CSIRT支援室 第 27 回 ペネトレーションテスト「OSINTとは」前篇

    イエラエ CSIRT支援室 第 27 回 ペネトレーションテスト「OSINTとは」前篇

ランキングをもっと見る