OneDrive Auto-Sync について考えよう:機密情報が SharePoint Online に自動バックアップ?

Microsoft OneDrive Auto-Sync Flaw Leaks Enterprise Secrets from SharePoint Online

2025/09/17 gbhackers — Entro Labs の最新レポートにより判明したのは、大規模組織で漏洩した機密情報の約 20% が、SharePoint に起因するという結果である。それは、SharePoint 自体の欠陥ではなく、OneDrive のデフォルト自動同期という単純な利便性の機能に起因するものだ。Desktop や Documents といった重要なフォルダが、OneDrive により SharePoint Online に自動バックアップされることで、個人ファイルが企業機密情報の宝庫に変化する可能性があるのだ。

OneDrive の自動同期による機密情報漏洩の仕組み

OneDrive for Business には、重要フォルダを OneDrive に、さらには SharePoint ドキュメント・ライブラリへと自動的にリダイレクトする、Known Folder Move (KFM) オプションが含まれている。

この機能は、数多くの企業環境のデフォルトで有効化されている。これらのフォルダに保存された、すべての情報はユーザーへの通知なしにクラウドへとコピーされるが、その中には、コンフィグ JSON/”.env” ファイル/スプレッドシートのスクラッチパッドなどの、テンポラリなファイルまで含まれる。

SharePoint にアップロードされたファイルは、プラットフォーム共有ルールに従う。すなわち、その所有者により閲覧は可能であり、チームによる共有が可能であり、管理者はいつでもアクセスできる。つまり、誤って保存されたパスワード・ファイルや API キーなどが、テナント全体で意図せずに利用可能になる。

漏洩ファイルの実態

Entro Labs が、数十社の企業環境から漏洩した機密情報を分析したところ、特定のファイル形式に集中していることが判明した。

漏洩情報の、半数以上は Excel ワークブックに由来するものだった。つまり、利便性を優先するユーザーが、そこに機密トークンやパスワードを貼り付けていたことになる。

また、資格情報を取り込んでいたファイルとしては、”.txt”/”.json”/”.pem” などのプレーン・テキスト・ファイルが 18% を占め、それに続くのが、スクリプト (.ps1)/SQL ダンプ (.sql)/Word 文書 (.docx) だったという。

Manually adding a site collection Admin
Manually adding a site collection Admin

これらユーザーが生成するファイルは、ローカルから SharePoint へと容易に移動し、悪意の侵害サービス・アカウントから短時間で取得可能となる。

Malicious File Access
Malicious File Access

OneDrive の同期は生産性を高めるが、悪意の侵害アカウント・サービスの影響範囲を拡大させる恐れもある。セキュリティ・チームは、以下の対策を迅速に講じるべきである。

  • サイト・コレクション管理者を手動で追加
  • 従業員/外部関係者へ意識付け:多くの人々は、ローカル保存が外部漏洩しないと誤解している。
  • ファイルへのアクセス制限:不要な箇所では、Known Folder Move を無効化する。管理者は Group Policy または Microsoft Intune 設定 (DisableKnownFolderMove/DisablePersonalSync など) を利用して、自動同期を制御できる。
  • 機密情報スキャンの導入:コード・リポジトリや CI/CD パイプラインだけではなく、SharePoint ライブラリ上でも資格情報漏洩を検知するツールを使用する。Entro の独自プラットフォームは、SharePoint にダイレクトに統合され、侵害前に警告を発することが可能である。

OneDrive のデフォルト自動同期が、逆効果となる仕組みを理解することで、定期的なバックアップがテナント全体の情報漏洩につながる事態を、未然に防ぐことができる。

SharePoint を通じた情報漏洩の多くは、OneDrive の自動同期機能に起因すると指摘する記事です。ソフト自体の欠陥ではなく、Known Folder Move がデフォルトで有効化されていることに原因があるという主張です。この設定により、ユーザーが意識しない状態で、Desktop や Documents 内のファイルが SharePoint にコピーされ、パスワードや API キーなどの機密データが、組織全体に共有されてしまうという可能性が生じます。もちろん、それらは、脅威アクターたちの標的にもなります。ご利用のチームは、ご注意ください。よろしければ、SharePoint で検索と、OneDrive で検索も、ご参照ください。