Threat actors can exfiltrate data from Google Drive without leaving a trace
2023/06/01 HelpNetSecurity — Google Workspace (旧 G Suite) には、悪意のサードパーティやインサイダーが Google Drive からデータを流出させても、それを発見できないという欠陥があると、Mitiga の研究者たちは述べている。Google Workspace において、組織の Google Drive リソースを可視化する方法は、ファイルのコピー/削除/ダウンロード/閲覧などのアクションに対して、 “Drive log events” を使用することで達成される。
デジタル・フォレンジック・アナリストや、インシデント対応担当者たちにとっての問題点
Mitiga の Ariel Szarf と Or Aspir は、「外部ユーザーとのオブジェクトの共有などの、外部ドメインが関与するイベントも記録される」と説明している。
組織における Google Drive ユーザーは、デフォルトでは “Cloud Identity Free” ライセンスでスタートした後に、組織の IT 管理者により、Google Workspace Enterprise Plus などの有料のライセンスが割り当てられるのが一般的だ。
しかし、この有料ライセンスが割り当てられていない場合には、ユーザーのプライベート・ドライブ内のアクション・ログが記録されないことが、研究者たちにより発見された。そのため、ユーザーだけではなく、外部の攻撃者によるデータ操作や流出といった行為について、組織内に情報が残らない可能性があるという。
たとえば、有料ライセンスが付与されていない場合や、Google アカウントが失効する前にライセンスが削除されている場合には、退職する従業員による弱点の悪用が可能になる。つまり、不正行為に関するフォレンジック証拠を残さずに、会社の知的財産を持ち去ることができるのだ。
あるユーザーによると、組織の共有ドライブから自分のプライベート・ドライブへ向けて、すべてのファイルのコピーやダウンロードができたという。その時のダウンロードは、まったく記録されず、コピーは “source_copy” ログには記録されるが、”copy” ログには残らなかったという。外部の攻撃者が、有償ライセンスを持たないユーザーのアカウントや、IT 管理者のアカウントに侵入した場合にも、同様のことが生じる。
研究者たちは、「管理者のアカウントにアクセスした脅威アクターは、そのユーザーのライセンスを失効させ、すべてのプライベート・ファイルをダウンロードし、ライセンスの再割り当てを行える。この場合に生成されるログは、”Admin Log Events” の下に記録される、ライセンスの取消しと割当てのみとなる」と説明している。
Google Drive を介したデータ流出の発見
研究者たちが、組織に対するアドバイスとして挙げているのは、Google Workspace で定期的に脅威ハンティングを行い、疑わしいライセンス割り当てや、失効イベントを検索することだ。それにより、”source_copy” ログを監視して、組織のファイルが異常/不審にコピーされていないかを判別できるという。
研究者たちは、このフォレンジック・セキュリティの欠陥を、Google のセキュリティ・チームに報告しているが、彼らはセキュリティ問題として認識しないだろうと見ている。
文末に書かれている Google の認識ですが、以下の記事を読めば、そのシカトぶりが見えてきます。この問題を修正するための、時間とコストの問題なのだろうと思いますが、いまのクラウドには、こんな問題がたくさんあるようです。よろしければ、カテゴリ Cloud も、ご利用ください。
2023/03/06:GCP の深刻な問題:データ流出攻撃に対して死角
2023/03/01:GCP のフォレンジック・ログに欠陥:処方箋はあるのか?
IoT OT Security News 
You must be logged in to post a comment.