Microsoftは、Windowsのありふれたタスクや設定を自動化するためにPowerShellを開発した。これは管理者にとってもハッカーにとっても大成功だった。そのユニークな機能により、PowerShell はライブ・オフ・ザ・ランド(LotL)攻撃の申し子となっています。
PowerShellと同様、Power Automateもまた、ありふれたタスクを自動化するために作られた。
- メールの添付ファイルをOneDrive for Businessに保存
- SharePointにフォームの回答を記録する
- フラグを立てたOffice 365メールに対してToDoタスクを作成
かなりクールだろ?
Power Automateは、すべてのO365テナントでデフォルトでオンになっており、約150のコネクタが標準装備されています。また、購入可能なプレミアムコネクタも同数(それ以上ではないにしても)あり、数え切れないほどの可能性があります。
Power Automateをレゴの連結システムだと考えてください。1つまたは複数のアクションを連結して、ニーズに応じた無限のフローを作成できます。できることをすでに想像していることでしょう。
Office 365のLiving Off The Land (環境寄生型)
Vectra セキュリティ・リサーチャーが Office 365 のセキュリティについて調べ始めたとき、Power Automate はすぐに彼らの目に留まった。調査すればするほど、基本的な非特権 Office 365 アクセスが可能になることに驚かされた。最近、Microsoftの調査により、ある多国籍大企業の高度な脅威アクターが Power Automate を使用してデータ流出を自動化し、213 日間発見されなかったことが判明した。
これをどのように実現できるか見てみよう。フローは、OneDriveフォルダを監視するトリガーから始まる。新しいファイルが追加されると(更新も可能)、フローは個人のDropboxフォルダに接続し、ファイルの内容をコピーする。OneDriveフォルダの所有者は、これが起こっているという通知を受け取らない。クラウド転送はクラウド、ネットワークやエンドポイントのセキュリティコントロールに触れることはありません。
また、PowerShellとは異なり、Power Automateは直感的なユーザーインターフェース(UI)を備えているため、セットアップも簡単だ。簡単でシンプル、そして驚くほどパワフルだ。
ファイルだけでなく、機密性の高い電子メールもエクスポートしたいですか?別のPower Automateフローを追加するだけです。
Power Automateはユーザーにとっては素晴らしいものである。しかし、セキュリティの専門家にとっては恐ろしいものだ。考えてみてほしい:
- デフォルトでオンになっている
- すべてのユーザーが独自のフローを作成できる
- フローは、データ損失防止(DLP)を含むセキュリティ・ポリシーをバイパスすることができる。
- 個々のコネクタをオフにする方法はない。
- 攻撃者は無料トライアルに登録することで、さらに多くの機能を持つプレミアムコネクターにアクセスできる。
私たちは、まだ表面を掻いたに過ぎません。次回のOffice 365セキュリティに関するブログでは、Power AutomateがOffice 365の土地で生活するために使用できるより高度な方法と、Office 365セキュリティチームがこの脅威の先を行く方法を取り上げます。ご期待ください!
Vectra 検知 for Office 365は、不審なログイン、悪意のあるアプリのインストール、メール転送ルール、Power Automate などの Office 365 ネイティブツールの悪用などのイベントを分析し、関連付けることで機能します。