Office 365のセキュリティPower Automateは新しいPowerShell

2020年6月29日
ローハン・チトラドゥルガ
プロダクト・マネジメント担当副社長
Office 365のセキュリティPower Automateは新しいPowerShell

Microsoftは、Windowsのありふれたタスクや設定を自動化するためにPowerShellを開発した。これは管理者にとってもハッカーにとっても大成功だった。そのユニークな機能により、PowerShell はライブ・オフ・ザ・ランド(LotL)攻撃の申し子となっています。

PowerShellと同様、Power Automateもまた、ありふれたタスクを自動化するために作られた。

  • メールの添付ファイルをOneDrive for Businessに保存
  • SharePointにフォームの回答を記録する
  • フラグを立てたOffice 365メールに対してToDoタスクを作成

かなりクールだろ?

アプリの自動化

Power Automateは、すべてのO365テナントでデフォルトでオンになっており、約150のコネクタが標準装備されています。また、購入可能なプレミアムコネクタも同数(それ以上ではないにしても)あり、数え切れないほどの可能性があります。

Power Automateをレゴの連結システムだと考えてください。1つまたは複数のアクションを連結して、ニーズに応じた無限のフローを作成できます。できることをすでに想像していることでしょう。

Office 365のLiving Off The Land (環境寄生型)

Vectra セキュリティ・リサーチャーが Office 365 のセキュリティについて調べ始めたとき、Power Automate はすぐに彼らの目に留まった。調査すればするほど、基本的な非特権 Office 365 アクセスが可能になることに驚かされた。最近、Microsoftの調査により、ある多国籍大企業の高度な脅威アクターが Power Automate を使用してデータ流出を自動化し、213 日間発見されなかったことが判明した。

これをどのように実現できるか見てみよう。フローは、OneDriveフォルダを監視するトリガーから始まる。新しいファイルが追加されると(更新も可能)、フローは個人のDropboxフォルダに接続し、ファイルの内容をコピーする。OneDriveフォルダの所有者は、これが起こっているという通知を受け取らない。クラウド転送はクラウド、ネットワークやエンドポイントのセキュリティコントロールに触れることはありません。

また、PowerShellとは異なり、Power Automateは直感的なユーザーインターフェース(UI)を備えているため、セットアップも簡単だ。簡単でシンプル、そして驚くほどパワフルだ。

Power Dropboxにファイルをコピーするフローを自動化する
Dropboxにファイルをコピーするフローを自動化します。

ファイルだけでなく、機密性の高い電子メールもエクスポートしたいですか?別のPower Automateフローを追加するだけです。

すべてのメールをDropboxにコピーするフローを自動化します。

Power Automateはユーザーにとっては素晴らしいものである。しかし、セキュリティの専門家にとっては恐ろしいものだ。考えてみてほしい:

  • デフォルトでオンになっている
  • すべてのユーザーが独自のフローを作成できる
  • フローは、データ損失防止(DLP)を含むセキュリティ・ポリシーをバイパスすることができる。
  • 個々のコネクタをオフにする方法はない。
  • 攻撃者は無料トライアルに登録することで、さらに多くの機能を持つプレミアムコネクターにアクセスできる。

私たちは、まだ表面を掻いたに過ぎません。次回のOffice 365セキュリティに関するブログでは、Power AutomateがOffice 365の土地で生活するために使用できるより高度な方法と、Office 365セキュリティチームがこの脅威の先を行く方法を取り上げます。ご期待ください!

Vectra 検知 for Office 365は、不審なログイン、悪意のあるアプリのインストール、メール転送ルール、Power Automate などの Office 365 ネイティブツールの悪用などのイベントを分析し、関連付けることで機能します。

よくあるご質問(FAQ)