Office 365のセキュリティ、Power Automateは新しいPowerShellである　

Microsoftは、Windowsのよく使うタスクや設定を自動化するためにPowerShellを開発しました。PowerShellは、管理者に使いやすいのはもちろんのこと、ハッカーにとっても都合の良いものとなっています。そのユニークな機能により、PowerShellはLiving off the Land（LOTL：自給自足/環境寄生）攻撃の申し子となってしまったのです

PowerShellと同様に、Power Automateもまたよく使うタスクを自動化するためのもので、Office 365 (O365)ユーザーのために構築されました。例えば、以下のようなタスクを行えます。

• メールの添付ファイルをOneDrive for Businessに保存
• フォームの回答を SharePoint に記録する
• フラグ付きのOffice 365メールのTo-Doタスクを作成する

便利なツールに思えますよね？

Power AutomateはすべてのO365テナントにおいてデフォルトでオンになっており、約150個のコネクタが標準装備されています。また、少なくとも同数のプレミアムコネクターが購入可能で、可能性は無限大と言えます。

Power  Automateをレゴのように相互接続されたシステムだと考えてみてください。つまり必要に応じて複数のアクションを接続し、ニーズに合わせたフローを作成できるのです。これを聞くだけで、様々なアイディアが湧いてくる人もいることでしょう。

Office 365の自給自足型攻撃

Vectra AI社のセキュリティの専門家が O365 セキュリティの調査を始めたとき、Power Automateがすぐに目が留まりました。調査を進めれば進めるほど、基本的で特権のない O365アクセスであってもできることが多いことに驚きました。Power Automate を使ったLOTL攻撃については、Microsoftが行った調査にて、大手の多国籍企業でデータの抜き取りを行っていた高度な脅威アクターが見つかり、それが213日間検出されていなかったことによって、最近明らかになりました。

では、どのようにして実行されるのかを見てみましょう。流れは、OneDriveフォルダを監視するトリガーから始まります。新しいファイルが追加（更新でも同様）されると、個人のDropboxフォルダに接続し、ファイルの内容をコピーします。その時OneDriveフォルダの所有者には通知されません。この転送はクラウド間で行われるため、ネットワークやエンドポイントのセキュリティ管理に接することがないのです。

また、PowerShellとは異なり、Power Automateは直感的なUIを備えているため、設定が簡単に行えます。簡単でシンプル、そして信じられないほど強力なのです。

ファイルに加えて、機密性の高いメールをエクスポートしたい場合は、別のPowerAutomateフローを追加するだけです。

Power AutomateはMicrosoftの意図どおり、ユーザーにとって素晴らしいものです。一方で、セキュリティの専門家にとっては恐ろしいものなのです。例えば、

• デフォルトでオンになっている
• すべてのユーザーが独自のフローを作成することができる
• フローは、DLPを含むセキュリティポリシーを迂回することができる。
• 個々のコネクタをオフにする方法はなく、全てをオンにするかオフにするかの二択のみである。
• 攻撃者は無料トライアルにサインアップして、より多くの機能を持つプレミアムコネクタにアクセスすることができる。

今回のブログでは上辺を撫でた程度ですが、今後、Office365のLOTL攻撃にPower Automateが使われる高度な方法と、O365 セキュリティチームがこの脅威の先を行くために何ができるかについて述べたいと思います。ご期待ください！

Vectra Cognito for Office 365は、不審なログイン、悪意のあるアプリのインストール、メール転送ルール、Power AutomateのようなOffice 365ネイティブツールの悪用などのイベントを分析し、関連付けることで機能します。被害が発生する前にセキュリティチームがアラートをどのように受け取るのかなど体験いただくためには、データシートをご確認いただくか、ご連絡いただきデモをお試しください。

‍