更新されたMicrosoft は、Office 365 および Live プラットフォームの悪用や、セキュリティ研究者による報告への対応の遅さにより、約 10 年間にわたり「世界最高のマルウェア ホスティング企業」とみなされてきました。
2020年6月から2021年4月までマイクロソフトで上級脅威インテリジェンスアナリストとして勤務していた情報セキュリティ専門家のケビン・ボーモント氏は、「サイバーセキュリティのプロ」TheAnalystのレポートに応えてこのコメントを行った。
TheAnalystは、BazarLoaderマルウェアキャンペーンがMicrosoftのOneDriveサービスにマルウェアをホストしていたと指摘した。「Microsoftは、この攻撃につながる数百ものファイルを3日以上もホストしていることを知りながら、この件に何らかの責任を負っているのだろうか?」と疑問を呈した。
BazarLoader は、スパム メールが受信者を騙してリンク経由でトロイの木馬を開かせようとするマルウェア ファミリです。この場合、リンクは ISO (ワンクリックでマウントできるディスク イメージ) であり、その ISO には悪意のある DLL が含まれており、その DLL を実行する Documents という誤解を招くショートカットがあり、これが Conti を使用した潜在的なランサムウェア攻撃につながります。
「面白いことに、マイクロソフト時代にはGoogle DriveにBazarloaderを警告し、リンクを削除させるパイプラインを構築していました。だからこそ、(文字通り数分で)あっという間に削除できたのです。今、マイクロソフトはMicrosoftのインフラに移行しました。Microsoftはパイプラインを持っているものの、Officeを使ってファイルを削除できないのです」とボーモント氏は語った。
さらに悲惨なことに、「マイクロソフトのドキュメントでは、セキュリティソリューションがコンテンツを検査しないように、問題のあるドメインを許可リストに登録するよう明確に指示されています。このような状況で企業を守れるか考えてみてください」とボーモント氏は反論した。
同氏はさらに、「マイクロソフトは、自社のOffice365プラットフォームがContiランサムウェアの直接的な実行に利用されるのを防げなければ、8,000人のセキュリティ担当者と数兆ものシグナルを擁するセキュリティリーダーとして自社を宣伝することはできない。OneDriveの悪用は何年も前から続いている」と述べた。
マルウェア報告への平均対応時間:マイクロソフトは最悪で、グーグルも非常に悪い
ベルン大学サイバーセキュリティ・エンジニアリング研究所のプロジェクトabuse.chが運営するURLhausというサイトは、マルウェアがホストサイトによって削除されるまでの期間に関する統計を記録しています。最新の統計によると、マルウェアURLを最も多くホストしている上位10サイトの中で、Microsoftの対応時間は29日を超えており、最も遅いことがわかりました。
データによれば、Google はより多くのマルウェアをホストしており、その削除も遅いが、応答時間は 14 日で、Microsoft の 2 倍速い。
OneDrive にホストされているマルウェアが URLhaus に報告されました
URLhausを運営するabuse.chの公式Twitterアカウントは、「記録によると、19ヶ月の歴史を持つ最も古いアクティブなマルウェアサイトはSharePointでホストされており、GuLoaderを配信している」と述べた。さらに、「週末にかけて、MSでホストされている新しいマルウェアサイトが10件増加したことを確認しました。MSRC APIを通じて入力されたこれらのレポートを彼らがどう処理しようと、それは決して自動化されていないのです」と付け加えた。MSRCはMicrosoft Security Response Centerの略である。
ボーモント氏は、「私の経験では、Azure ストレージのアイテムはすぐに消えるはずですが、残念ながら Office は混乱しています」と述べた。
マルウェアをホストするMicrosoftのサイトでは、OneDriveアカウントが使用されていますが、これらのアカウントは、マルウェアの目的のために特別に作成されたか、正規ユーザーから乗っ取られた可能性があります。また、侵害された法人向けOffice 365アカウントにマルウェアがホストされていることもよく見られます。
クラウドプロバイダーによる疑わしいファイルの自動ブロックは、新たな亜種の検出が困難であるだけでなく、プライバシーの観点からも問題があります。Microsoft Defenderでマルウェアが検出されても、「OneDriveで自動的に削除される」わけではないとボーモント氏は述べています。
対応時間は、特定の報告を受けて悪質なコンテンツを削除するのにかかる時間を測定するもので、マルウェアを削除する平均時間です。完全なリストを見ると、報告によってはわずか 2 日で完了するものもあれば、最大 4 か月かかるものもあります。
ユーザーへのメッセージは、リンクが OneDrive や Google Drive などのよく知られた名前でホストされているからといって、リンクを開いても安全だと確信できるわけではなく、それらのドメインを許可リストに登録するのは間違いであるということです。
Microsoft にコメントを求めました。®
10月19日に更新され、以下が追加されました:
マイクロソフトの広報担当者は、「クラウドストレージの悪用は業界全体の問題であり、マイクロソフトのサービスが悪用されるケースを減らすよう、常に取り組んでいます。この報告書に記載されているような悪用を防止し、迅速に対応するための更なる改善策を検討しています」と述べています。さらに、「ウェブページへのリンクをクリックする際、不明なファイルを開く際、ファイル転送を受け入れる際は注意を払うなど、オンラインでの適切なコンピューティング習慣を実践するよう、引き続きお客様にお願いしています。また、こちらのフォーム[リンク]を使用して、悪用を報告するようお願いしています」と付け加えています。
